go!sip: um framework de privacidade para cidades inteligentes baseado em pessoas como sensores

Welington Manoel da Silva

GO!SIP: UM FRAMEWORK DE PRIVACIDADE PARA CIDADES

INTELIGENTES BASEADO EM PESSOAS COMO SENSORES

Dissertação de Mestrado

Universidade Federal de Pernambuco

[email protected]

www.cin.ufpe.br/~posgraduacao

RECIFE2014

www.cin.ufpe.br/~posgraduacao

Universidade Federal de Pernambuco

Centro de InformáticaPós-graduação em Ciência da Computação

Welington Manoel da Silva

GO!SIP: UM FRAMEWORK DE PRIVACIDADE PARA CIDADESINTELIGENTES BASEADO EM PESSOAS COMO SENSORES

Trabalho apresentado ao Programa de Pós-graduação em

Ciência da Computação do Centro de Informática da Univer-

sidade Federal de Pernambuco como requisito parcial para

obtenção do grau de Mestre em Ciência da Computação.

Orientador: Prof. Dr. Vinicius Cardoso Garcia

Co-Orientador: Prof. Dr. Alexandre Alvaro

RECIFE2014

Catalogação na fonteBibliotecária Jane Souto Maior, CRB4-571

S586g Silva, Welington Manoel daGo!SIP: um framework de privacidade para cidades

inteligentes baseado em pessoas como sensores / WelingtonManoel da Silva – Recife: O Autor, 2014.159 f.: il., fig., tab.

Orientador: Vinicius Cardoso Garcia.Dissertação (Mestrado) – Universidade Federal de

Pernambuco. CIn, Ciência da Computação, 2014.Inclui referências.

1. Engenharia de software. 2. Privacidade. I. Garcia, ViniciusCardoso. (orientador). II. Título.

005.1 CDD (23. ed.) UFPE- MEI 2015-13

Dissertação de Mestrado apresentada por Welington Manoel da Silva à Pós-

Graduação em Ciência da Computação do Centro de Informática da Universidade

Federal de Pernambuco, sob o título “Go!SIP: Um Framework de Privacidade

para Cidades Inteligentes Baseado em Pessoas Como Sensores'” orientada pelo

Prof. Vinicius Cardoso Garcia e aprovada pela Banca Examinadora formada pelos

professores:

______________________________________________Prof. Kiev Santos da GamaCentro de Informática/UFPE

______________________________________________Prof. Fabrício Benevenuto de SouzaDepartamento de Ciência da Computação/ UFMG

_______________________________________________Prof. Vinicius Cardoso GarciaCentro de Informática /UFPE

Visto e permitida a impressão.Recife, 25 de agosto de 2014.

___________________________________________________Profa. Edna Natividade da Silva BarrosCoordenadora da Pós-Graduação em Ciência da Computação doCentro de Informática da Universidade Federal de Pernambuco.

À Deus.

À minha família.

Dedico.

Agradecimentos

Em primeiro lugar, gostaria de agradecer a Deus, que tem sido o meu refúgio e incon-dicional amigo. “(. . . ) It would take all day to tell You how I thank You". Foram tantas asdificuldades e oportunidades durante esta etapa, que me fazem ter a certeza de que eu nunca teriachegado aqui sem Teu auxílio.

À minha família, por entender as madrugadas em claro, churrascos e passeios que nãopude ir e, apesar das dificuldades, obrigado por acreditar em mim e em meu potencial. Aos meuspais, José Aparecido e Sandra, em especial, obrigado pelos sacrifícios e pelas orações; não hánada que eu possa fazer para retribuir o que fizeram por mim. Às minhas irmãs, Renata e Noemi,obrigado por cuidarem de mim e pela compreensão nos dias em que a luz teve que ficar acesa atéde madrugada; lembrem-se que dá pra ir mais longe, sempre.

À Letícia, minha namorada e revisora, que me apoiou desde o início, mesmo com adificuldade da distância e a ausência, obrigado por ser paciente, por compartilhar, por ouvir,cuidar, ajudar e me fazer olhar para cima e à frente, quando tudo o que eu queria era desistir.

Ao meu amigo e irmão de coração, Gustavo Henrique Rodrigues Pinto Tomas, “brow”,a “fase Recife” deste mestrado ficou bem mais engraçada e suportável com nossas trapalhadas.Neste tempo de amizade e parceria eu aprendi com você lições que levarei para a vida toda; seufoco e obstinação em vencer este desafio foram realmente muito inspiradores. Obrigado pelasdiscussões, críticas, feedbacks, tanto a nível pessoal, profissional e acadêmico e, uma vez mais,obrigado por “botar a mão na massa” e me ajudar no desenvolvimento da aplicação.

Ao meu orientador Vinicius Garcia, obrigado por aceitar o desafio do trabalho à distância.A liberdade que me permitiu, desde o momento de escolha do tema, no desenvolvimento edirecionamento da proposta, aliada à confiança transmitida e os eventuais “empurrõezinhos”me proporcionaram um grande aprendizado. O fato de concordar em explorar um assunto,absolutamente novo e complexo, demonstra maturidade e entusiasmo, elementos fundamentaispara resgatar, na academia, o apreço pela pesquisa que tem impacto prático na vida das pessoas.

Ao meu coorientador Alexandre Alvaro, por apresentar a oportunidade e compartilharsua experiência. Aquela conversa descontraída que tivemos, assim que o projeto de mestradofoi aprovado, foi uma verdadeira injeção de encorajamento. Obrigado pela disponibilidade empropor/discutir/questionar as ideias e sempre propor um ”mas, e se. . . ”; isso, sem dúvida, meestimulou a ir um tanto mais longe do que eu imaginava que conseguia.

Aos meus amigos do Elyon Music e do Grupo Elyon, o tempo que passei com vocês meajudou a não perder a sanidade.

Ao Centro de Estudos e Sistemas Avançados do Recife, obrigado pela credibilidade eapoio no desenvolvimento desse mestrado.

Finalmente, obrigado a todos que, de alguma forma, colaboraram com este trabalho.

Para ser grande, sê inteiro: nada

Teu exagera ou exclui

Sê todo em cada coisa. Põe quanto és

No mínimo que fazes.

Assim em cada lago a lua toda

Brilha, porque alta vive.

—RICARDO REIS (Fernando Pessoa)

Resumo

O crescimento desenfreado da população nos centros urbanos afeta diretamente a provisãode serviços concebidos para suprir às necessidades dos cidadãos. Com isso, academia e naindústria discutem que, grande parte das cidades, não contam com serviços básicos (comotransporte, energia elétrica, água, saneamento básico, saúde pública, educação, segurançapública, etc.) devidamente preparados para suportar tamanho crescimento, nem mesmo possuema infraestrutura necessária para gerenciar suas consequências.

Neste cenário se estabelece o conceito de Cidades Inteligentes, empregando Tecnologiasde Informação e Comunicação (TICs) para solucionar ou minimizar problemas no âmbito urbanoligados à provisão de serviços, processando dados coletados de entidades imersas neste contexto,a fim de que se entenda a dinâmica de funcionamento da cidade, permitindo compreender osproblemas, identificar falhas, propor e implementar soluções e melhorias, adequadas à suarealidade, visando melhorar a qualidade de vida dos cidadãos.

Dentre os dados coletados para o propósito citado, vindo de sensores instalados noambiente, de dispositivos móveis, etc., existe uma quantidade significativa de dados pessoais,que podem ser analisados e combinados - divergindo do objetivo inicial - gerando situações quecomprometam a privacidade individual. Com as informações geradas a partir deste processo,organizações privadas e públicas podem beneficiar-se, explorando as necessidades dos indivíduosmonitorados ao deter mais informação e conhecimento sobre o indivíduo do que ele próprio.Este panorama reflete a forma como nossos dados são predominantemente tratados atualmente,configurando um paradigma centrado em dados, no qual o indivíduo, seus direitos e preferênciassão mantidos em segundo plano.

Considerando esse contexto, este trabalho realiza um estudo sobre propostas de privaci-dade para diversos domínios inteligentes, entendidos como peças essenciais na composição deCidades Inteligente, extraindo os requisitos abordados por esses trabalhos, utéis na construçãodo Go!SIP, um framework de privacidade para Pessoas como Sensores.

A implementação dos requisitos selecionados para avaliação fundamentou-se em umaabordagem quantitativa, baseada na hipótese de que essa abordagem facilita a compreensão doindivíduo, deixando-o ciente dos riscos, e menos propenso a expor seus dados pessoais. Paraexecução da avaliação utilizou-se o formato de Estudo de Caso, através de storytelling e umgamebook interativo, simulando diferentes cenários de exposição de dados em um ambienteurbano. A abordagem quantitativa de implementação dos requisitos mostrou-se favorável àhipótese inicial, repelindo os usuários das situações que requeriam exposição de suas informaçõespessoais, demonstrando, dentro das restrições estabelecidas, o potencial da proposta.

Palavras-chave: Cidades Inteligentes. Privacidade. Framework. Pessoas como Sensores.

Abstract

The unbridled population growth in urban centers affects directly the provision of servicesdesigned to meet the needs of citizens. Therefore, academy and industry discuss that most citiesdo not have basic services (such as transportation, electricity, water, sanitation, public health,education, public safety, etc.) adequately prepared to support such growth or even have thenecessary infrastructure to manage its consequences.

It is within this scenario that it is established the concept of Smart Cities, in whichInformation and Communication Technologies (ICTs) are employed to solve or minimizeproblems in urban areas, related to the provision of services, processing data collected fromentities immersed in such context in order to understand the dynamics of the city, allowing tounderstand the problems, identify gaps, propose and implement solutions and improvements,suitable to its reality, aiming to improve the quality of life of citizens.

Among the data collected for the mentioned purpose, originated from sensors installed inthe environment, mobile devices, the Internet itself, etc., there is a significant amount of personaldata, that can be analyzed and combined - diverging from the original goal - creating situationsthat compromise individual privacy. With the information generated from this process, privateand public organizations might benefit by exploring the needs of individuals monitored, since theyhave more information and knowledge about the individual than himself. This scenario reflectsthe way our data are predominantly handled currently by setting up a data-centric paradigm, inwhich the individual, his rights and preferences are kept in background.

Considering this context, this work performs a study on privacy proposals for severalsmart domains , seen as essential parts in the composition of a Smart City, extracting therequirements addressed by these works, useful for building Go!SIP, a privacy framework forPeople as Sensors.

The implementation of the selected requirements for the evaluation process was based ona quantitative approach, based on the hypothesis that it facilitates the understanding of individual,making him aware of the risks, and less prone to expose his personal data. For conducting theevaluation a case study was applied, using storytelling and an interactive gamebook, simulatingdifferent scenarios of data exposure in an urban environment. The quantitative implementation ofthe requirements was favorable to the initial hypothesis, repelling users of situations that requiredexposure of their personal information, demonstrating, within the established constraints, thepotential of the proposal.

Keywords: Smart Cities. Privacy. Framework. People as Sensors.

Lista de Figuras

5.1 Diagrama dos Níveis de Implementação de Privacidade que compõe o Go!SIP . 76

6.1 Exemplo da tela do Go!SIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 976.2 Heat map da história utilizada no Estudo de Caso . . . . . . . . . . . . . . . . 1026.3 Índice de Proteção Individual (IPI) Médio por perfil, para participantes com

acesso às métricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1036.4 IPI Médio por perfil, para participantes sem acesso às métricas . . . . . . . . . 103

B.1 Formulário de Dados Pessoais . . . . . . . . . . . . . . . . . . . . . . . . . . 126B.2 Formulário de Dados Financeiros (Fictícios) . . . . . . . . . . . . . . . . . . . 127B.3 Formulário de Dados de Consumo (Fictícios) . . . . . . . . . . . . . . . . . . 128B.4 Formulário de Dados de Localização (Fictícios) . . . . . . . . . . . . . . . . . 129B.5 Formulário de Dados Médicos (Fictícios) . . . . . . . . . . . . . . . . . . . . 130B.6 Formulário de Dados de Relacionamento . . . . . . . . . . . . . . . . . . . . . 131B.7 Formulário de Serviço eGov . . . . . . . . . . . . . . . . . . . . . . . . . . . 141B.8 Imagem da tela de problema de saúde . . . . . . . . . . . . . . . . . . . . . . 147B.9 Serviço de Localização, Gugou Maps . . . . . . . . . . . . . . . . . . . . . . 150B.10 Aplicação de Localização, Gugou Maps . . . . . . . . . . . . . . . . . . . . . 151B.11 Serviço Rede Social, Fakebook . . . . . . . . . . . . . . . . . . . . . . . . . . 152B.12 Aplicação Rede Social, Fakebook . . . . . . . . . . . . . . . . . . . . . . . . 153B.13 Serviço Rede Social, Twistter . . . . . . . . . . . . . . . . . . . . . . . . . . . 154B.14 Aplicação Rede Social, Twistter . . . . . . . . . . . . . . . . . . . . . . . . . 155B.15 Aplicação check-in . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155B.16 Serviço de Medição de Energia Elétrica Inteligente . . . . . . . . . . . . . . . 156B.17 Aplicação de Medição de Energia Elétrica Inteligente . . . . . . . . . . . . . . 157B.18 Serviço de Monitoramento de Estado de Saúde . . . . . . . . . . . . . . . . . 157B.19 Serviço Atendimento Emergencial . . . . . . . . . . . . . . . . . . . . . . . . 158B.20 Aplicação de Monitoramento de Estado de Saúde . . . . . . . . . . . . . . . . 159

Lista de Tabelas

2.1 Mapeamento Requisitos-Trabalhos . . . . . . . . . . . . . . . . . . . . . . . 28

4.1 Quantidade de trabalhos retornados por biblioteca digital . . . . . . . . . . . . 544.2 Filtros aplicados no processo de revisão . . . . . . . . . . . . . . . . . . . . . 554.3 Uso de requisitos de privacidade em Smart X por domínio estudado . . . . . . 67

5.1 Classificação do requisitos de acordo com os paradigmas PCD, PCU e PCS . . 755.2 Domínios estudados e seu paradigma predominante . . . . . . . . . . . . . . . 78

6.1 Impacto dos Serviços no score do participante . . . . . . . . . . . . . . . . . . 966.2 Impacto dos Passos no score do participante . . . . . . . . . . . . . . . . . . . 966.3 Desistência nos passos da história . . . . . . . . . . . . . . . . . . . . . . . . 986.4 Aquisição de serviços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 996.5 Índice de Exposição (IE) médio por perfil, para participantes sem acesso às

métricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

A.1 Motores e termos de busca utilizados na Questão de Pesquisa 1 . . . . . . . . . 122A.2 Motores e termos de busca utilizados na Questão de Pesquisa 2 . . . . . . . . . 123A.3 Data de execução das buscas . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

Lista de Acrônimos

API Application Programming Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

BD Big Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

CI Cidade Inteligente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

CD Cidade Digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

CE Comissão Européia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

DPD European Union Data Protection Data Protection Directive 95/46 . . . . . . . . . . . 43

GPS Global Positioning System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

IPI Índice de Proteção Individual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

IE Índice de Exposição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

IoT Internet das Coisas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

IPI Índice de Proteção Individual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

M2M Machine to Machine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

NPV Nível de Proposição de Valor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

ONU Organização das Nações Unidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

PCD Paradigma Centrado no Dado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

PCU Paradigma Centrado no Usuário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

PCS Paradigma Centrado no Serviço . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

PS Provedor de Serviço . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

TIC Tecnologia de Informação e Comunicação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Sumário

1 Introdução 161.1 Motivação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171.2 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211.3 Escopo Negativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221.4 Principais Contribuições . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

2 Fundamentação Teórica 252.1 Cidades Inteligentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

2.1.1 Requisitos para Cidades Inteligentes: Um Overview . . . . . . . . . . . 272.1.2 Considerações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

2.2 Privacidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312.3 Direcionamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

3 Pessoas Como Sensores emCidades Inteligentes 343.1 Pessoas Como Sensores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363.2 A Problemática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403.3 Pessoas Como Sensores, Leis e Big Data . . . . . . . . . . . . . . . . . . . . . 433.4 Privacidade Para Pessoas Como Sensores . . . . . . . . . . . . . . . . . . . . 47

4 Mecanismos de Privacidade em Smart X 514.1 Revisão Sistemática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

4.1.1 Metodologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534.1.1.1 Processo de Busca . . . . . . . . . . . . . . . . . . . . . . . 534.1.1.2 Processo de Seleção . . . . . . . . . . . . . . . . . . . . . . 54

4.2 Mecanismos de privacidade propostos para Smart X . . . . . . . . . . . . . . . 564.2.1 Smart Grids (SG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564.2.2 Smart Buildings e Homes (SBH) . . . . . . . . . . . . . . . . . . . . . 584.2.3 Smart Environment (SE) . . . . . . . . . . . . . . . . . . . . . . . . . 604.2.4 Smart Spaces (SS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624.2.5 Smart Health (SH) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654.2.6 Outros domínios e Abordagens (OD) . . . . . . . . . . . . . . . . . . 65

4.3 Requisitos Comuns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674.4 Resultados da Revisão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

5 Go!SIP, O Framework 725.1 Descrição do Go!SIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

5.1.1 Classificação Baseada em Paradigmas . . . . . . . . . . . . . . . . . . 745.1.1.1 Paradigma Centrado no Dado (PCD) . . . . . . . . . . . . . 745.1.1.2 Paradigma Centrado no Usuário (PCU) . . . . . . . . . . . . 745.1.1.3 Paradigma Centrado no Serviço (PCS) . . . . . . . . . . . . 74

5.1.2 Classificação dos Requisitos . . . . . . . . . . . . . . . . . . . . . . . 745.2 Considerações e Aplicação do Go!SIP . . . . . . . . . . . . . . . . . . . . . . 785.3 Convergência de Paradigmas: Uma Abordagem Quantitativa . . . . . . . . . . 80

5.3.1 Definições preliminares . . . . . . . . . . . . . . . . . . . . . . . . . 805.3.2 Cálculo de Exposição . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

5.3.2.1 Índice de Proteção Individual . . . . . . . . . . . . . . . . . 815.3.2.2 Cálculo de Precisão do Atributo . . . . . . . . . . . . . . . . 815.3.2.3 Índice de Exposição . . . . . . . . . . . . . . . . . . . . . . 82

5.3.3 Cálculo de Similaridade . . . . . . . . . . . . . . . . . . . . . . . . . 825.4 Rumo à Avaliação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

6 Avaliação do Framework 856.1 Uma Visão Geral Sobre Estudos de Caso . . . . . . . . . . . . . . . . . . . . . 866.2 Escopo da Avaliação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 876.3 Metodologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

6.3.1 Storytelling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 886.3.2 Gamebooks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896.3.3 Por Que Storytelling e Gamebook? . . . . . . . . . . . . . . . . . . . . 89

6.4 Execução da Avaliação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 916.4.1 A Criação da História . . . . . . . . . . . . . . . . . . . . . . . . . . . 916.4.2 Ferramentas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 926.4.3 Perfil de Participação . . . . . . . . . . . . . . . . . . . . . . . . . . . 926.4.4 Desenvolvimento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

6.5 Resultados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 986.6 Ameaças à avaliação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

7 Conclusão 1057.1 Principais Conclusões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1077.2 Trabalhos Relacionados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1087.3 Trabalhos Futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1107.4 Considerações Finais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

Referências 112

Apêndice 121

A Revisão Sistemática 122

B Go!SIP, a história 124B.1 Enredo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

B.1.1 (Passo 0) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124B.1.2 (Passo 1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125B.1.3 (Passo 2a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125B.1.4 (Passo 2b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125B.1.5 (Passo 2c) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126B.1.6 (Passo 3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127B.1.7 (Passo 4a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130B.1.8 (Passo 4b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133B.1.9 (Passo 4c) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133B.1.10 (Passo 5a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134B.1.11 (Passo 5b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134B.1.12 (Passo 5c) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134B.1.13 (Passo 5d) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134B.1.14 (Passo 5e) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136B.1.15 (Passo 6b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137B.1.16 (Passo 6c) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137B.1.17 (Passo 6d) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137B.1.18 (Passo 6e) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138B.1.19 (Passo 7a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138B.1.20 (Passo 7b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138B.1.21 (Passo 7c) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138B.1.22 (Passo 7d) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139B.1.23 (Passo 8a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139B.1.24 (Passo 8b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139B.1.25 (Passo 8c) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140B.1.26 (Passo 9a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140B.1.27 (Passo 9b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140B.1.28 (Passo 9c) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141B.1.29 (Passo 9d) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143B.1.30 (Passo 10a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143B.1.31 (Passo 11a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144B.1.32 (Passo 11b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145B.1.33 (Passo 11c) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145B.1.34 (Passo 11d) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

15

B.1.35 (Passo 12a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145B.1.36 (Passo 13a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147B.1.37 (Passo 13b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147B.1.38 (Passo 13c) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148B.1.39 (Passo 14a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148B.1.40 (Passo 14b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

B.2 Serviços e Aplicações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150B.2.1 Gugou Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150B.2.2 Fakebook . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150B.2.3 Twistter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151B.2.4 Check-in . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152B.2.5 Smart Meter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152B.2.6 Health Monitor e Health Assist . . . . . . . . . . . . . . . . . . . . . 153

B.3 Subrotinas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153B.3.1 Navegação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

B.3.1.1 Navegação com Chuva . . . . . . . . . . . . . . . . . . . . 154

161616

1Introdução

What was once private is now public,

what was once hard to copy, is now trivial to duplicate,

what was once easily forgotten, is now stored forever.

—RON RIVEST (Reversal of defaults)

1.1. MOTIVAÇÃO 17

1.1 Motivação

A população do planeta está gradativamente deslocando-se para áreas urbanas. De acordocom relatórios da Organização das Nações Unidas (ONU) e do Banco Mundial, em 1950, cercade 30% da população mundial vivia em áreas urbanas; desde então, este número quase duplicouaté 2014, aumentando para 54%, com a estimativa de atingir 66%, em meados de 2050 (UnitedNations, 2007, 2011; The World Bank, 2013; United Nations, 2014).

Tamanho crescimento desenfreado traz consigo diversos problemas, no que diz respeitoà provisão de serviços urbanos. Entende-se por serviço urbano qualquer ação direcionadaa suprir necessidades básicas dos cidadãos, tais como eletricidade, água potável, transportepúblico, segurança, saúde, educação, saneamento básico, tratamento de resíduos sólidos, etc.A disponibilidade e efetividade destes serviços asseguram aos cidadãos uma qualidade de vidadigna, reforçando a concretização dos artigos 21, 22 e 25 da Declaração Universal dos DireitosHumanos (Assembly, 1948).

O principal motivo para tamanho crescimento da população urbana mundial é que, pornatureza, as cidades geralmente oferecem maiores oportunidades de acesso aos serviços públicoscitados, para perfis de famílias de diferentes realidades econômicas; além disso, é nas cidadesque se espera encontrar um mercado de trabalho mais amplo e melhores condições de vida.

Entretanto, para que essas expectativas sejam materializadas, o Departamento de Assun-tos Econômicos e Sociais da ONU (United Nations, 2014) aponta que se faz necessário umaabordagem de planejamento e gerenciamento, na qual os serviços urbanos sejam providos deforma igualitária e eficaz, sustentados por um conjunto vasto de informações sobre a cidade,de onde se possa extrair as necessidades a serem supridas, falhas em processos urbanos, quaismedidas podem ser tomadas, bem como as evidências dos resultados das ações estabelecidas.A grande dificuldade que se apresenta é que a grande parte das cidades - principalmente depaíses subdesenvolvidos ou emergentes - não está devidamente preparada para suportar tamanhocrescimento, nem mesmo possui a infraestrutura necessária para gerenciar suas consequências(Walravens, 2011).

É neste cenário que se estabelece o conceito de Cidade Inteligente (CI) (ou, em inglês,Smart City). Apesar das diversas definições, é consenso afirmar que uma CI emprega tecnologiapara solucionar problemas no âmbito urbano.

No aspecto humano e social, uma CI implica em melhorias no cotidiano dos cidadãos,com medidas implementadas ou suportadas por aparatos tecnológicos, promovendo acesso aosserviços urbanos (Anthopoulos and Fitsilis, 2010).

No aspecto técnico, smart refere-se à conectividade onipresente, através de uma infra-estrutura sofisticada de informação e comunicação, permitindo otimização no uso de recursosfinitos, materializando princípios como capacidade de adaptação às variáveis do contexto urbano,recuperação em situações de falha, segurança contra investidas mal intencionadas e otimização- soluções de problemas urbanos mais efetivas, melhor aproveitamento no uso de recursos e

1.1. MOTIVAÇÃO 18

maximização de resultados - na gestão de uma cidade, conforme discutido em (Nam and Pardo,2011; Bowerman et al., 2000); estas tecnologias devem ser adaptadas ao ambiente urbano,criando-se um contexto adequado à participação física e virtual dos cidadãos, num processo deplanejamento e gerenciamento “das partes” para o “todo”, ao contrário do que é feito atualmente(Chillon, 2012).

De uma forma mais granular, uma cidade é inteligente quando utiliza Tecnologias deInformação e Comunicação (TICs) de forma apropriada para prover serviços a comunidade -permitindo participação democrática e estimulando o engajamento - melhorando a qualidadede vida, enquanto cria um ambiente mais sustentável, com investimentos de ordem social einfraestrutura moderna de comunicação, encorajando o desenvolvimento econômico através deuma gestão integrada e eficiente (Nam and Pardo, 2011; Andreini et al., 2011; Asimakopoulouand Bessis, 2011). Neste contexto, os cidadãos teriam acesso a uma variedade de tecnologias eserviços avançados, usando qualquer dispositivo, em qualquer lugar e a qualquer hora (Andreiniet al., 2011; Chillon, 2012).

O assunto CI ganhou relevância nos últimos anos como solução para a crescente demandade serviços urbanos. Aliado ao crescimento sustentável, espera-se que o uso de TICs supraeficientemente tanto objetivos tecnológicos quanto de negócios (Walravens, 2011). Porém,mais que integração de sistemas, criação de infraestrutura ou implementação de serviços, oaspecto tecnológico assume papel de facilitador na criação de um ambiente de inovação, querequer criatividade, conectividade e colaboração; o aspecto social possui vital importância, tantoquanto (ou mais que) o tecnológico, exigindo a compreensão da complexidade nas relaçõessócio-tecnológicas do ecossistema urbano (Nam and Pardo, 2011).

Para que o conceito seja colocado em prática, é necessário entender a dinâmica defuncionamento de cada cidade e, para tal, a coleta de dados é uma forma promissora que seapresenta, permitindo compreender os problemas, identificar falhas e propor melhorias e novassoluções para provisão de serviços, como sugerido em (United Nations, 2014).

Com o propósito de gerar informações, que por sua vez favoreçam a sustentação denegócios, uma quantidade sem precedente de dados precisa ser coletada através de dispositivos,pessoas e sensores conectados, gerados a partir de inúmeras transações por dia. Esses dadospodem ser coletados de forma ativa, nos modos tradicionais (como o preenchimento de formu-lários, questionários, etc.), ou ainda de forma passiva, como subproduto de outras atividadesou por transações Machine to Machine (M2M)1, sem ser necessariamente consentido - comoa própria navegação na Internet, informações de localização obtidas a partir de dispositivosmóveis (a exemplo do que foi noticiado em (Diallo, 2013)) ou imagens capturadas por camêrasde vigilância (como colocado em evidência em (Sentupta, 2013; Stone, 2013; Diallo, 2013;Pincus, 2013)).

Disperso no meio dos dados coletados existe uma quantidade significativa de dadospessoais, que podem ser analisados e combinados gerando ainda mais dados. Essa forma de

1A comunicação M2M é caracterizada pela troca de infomações entre dispositivos sem interveção humana.

1.1. MOTIVAÇÃO 19

atuação se iguala em consequência à coleta passiva de dados, na qual o indivíduo é exposto semconhecimento ou consentimento (of Communications, 2012; Forum, 2013; Tene and Polonetsky,2012). O advento de Big Data (BD) (Chui et al., 2011; Rubinstein, 2013), que implica naconsolidação do gerenciamento dessas grandes massas de dados, agrava o comprometimento daprivacidade.

Em Rubinstein (2013), fala-se sobre três dimensões que definem BD: i) disponibilidadede dados em grande escala, coletados não somente a partir de transações online, mas atravésdo uso de dispositivos móveis (através de sensores embarcados ou de aplicações que permitamcompartilhamento de dados), interações com ambientes inteligentes (construídos através daInternet das Coisas) (Atzori et al., 2010) e a Web 2.0, que permite a criação e compartilhamentovoluntários de dados pessoais e correlatos; ii) aumento na capacidade de armazenamento eprocessamento dos computadores modernos, que viabiliza o modelo de computação em nuveme; iii) uso da capacidade computacional para armazenar e processar uma quantidade gigantescade dados.

As características citadas acentuam a vulnerabilidade inerente aos dados pessoais dis-persos na referida massa de dados, quer sejam em sua forma primitiva (dado bruto) ou derivada(gerada a partir de algum tipo de análise), e levantam diversos questionamentos quando se discutea regulamentação de uma lei de proteção aos dados, principalmente no que tange a distinçãoentre dados pessoais e não pessoais e à validade das leis sobre os dados gerados a partir deanálise e mineração de dados.

Em contrapartida, Tene e Polonetsky (Tene and Polonetsky, 2012) discutem a necessidadede alinhar a evolução tecnológica e as realidades de negócio com os princípios de minimizaçãode dados e limitação no propósito de uso desses dados. Porém, esses princípios são divergentesquando trata-se de BD, onde se prevê maximização de dados (quanto mais dados para analisar,mais refinados e precisos serão os resultados) e a descoberta de correlações não aparentes e/ouesperadas.

Além disso, um dos problemas imediatos de BD é o seu efeito incremental. Naturalmente,quanto maior o acúmulo de dados pessoais, mais comprometida a privacidade. A literaturamostra que, mesmo quando as grandes corporações tentam minimizar o impacto de suas açõescom algoritmos de deidentificação2, é possível executar o processo reverso e associar novamenteos dados aos respectivos indivíduos (Narayanan and Shmatikov, 2008; Ohm, 2010). Ademais,uma vez o dado exposto, torna-se praticamente impossível recuperá-lo e mantê-lo novamente emsegredo.

Outro problema é o desequilíbrio entre os benefícios de governos e corporações e dosindíviduos monitorados. Primeiro, porque geralmente serviços online são oferecidos em formade barganha: você cede seus dados e recebe em troca um serviço “gratuito”; neste cenário, assimcomo num jogo em que um jogador sabe de antemão as cartas do outro, governos e corporações

2Processo de reversão da anonimização aplicada ao dado, tirando quaisquer referências ao indivíduo a quempertencem.

1.1. MOTIVAÇÃO 20

têm em mãos mais informações sobre o indivíduo do que ele possui sobre si mesmo, facilitandoa exploração de suas necessidades, gerando vantagens unilaterais (Tene and Polonetsky, 2012);segundo, o segredo de negócio das grandes corporações, ao invés de focado numa relaçãoequilibrada de proposição de valor, restringe-se a dados que somente elas tem posse, coletados,utilizados e mantidos em condições alheias ao conhecimento público.

Este panorama reflete a forma como nossos dados são tratados, no qual o indivíduo, seusdireitos e suas preferências são mantidos em segundo plano.

A proposta a ser descrita neste trabalho vai em direção semelhante aos princípios estabe-lecidos em (Reding, 2012) e em (Computer Security Division, 2013) e apresenta o Go!SIP, umframework para proteção de dados pessoais em CI, no qual se extrapola o uso do dado por si só epermite-se o fluxo de conhecimento útil sobre a cidade e seus habitantes, em um processo decolaboração mútua, fomentado pelo consenso e decisão informados, possibilitando a manutençãoda privacidade de dados pessoais.

1.2. OBJETIVOS 21

1.2 Objetivos

Frente à motivação apresentada, este trabalho possui os seguinte objetivos gerais:

� Investigar mecanismos de provisão de privacidade propostos em diferentes contextosinteligentes (que essencialmente compõe o que chamamos de Cidades Inteligentes);

� Elencar um conjunto de requisitos comuns que sejam adequados ao paradigma deinteresse para este trabalho, o paradigma centrado no indivíduo;

� Conceber métricas quantitavas para representação dos requisitos de privacidadelevantados;

� Identificar o impacto das métricas quantitativas concebidas na decisão de exposiçãode dados pessoais.

Finalmente, como objetivo específico, este trabalho visa, em linhas gerais:

� Propor um framework para provisão de privacidade em Cidades Inteligentes, con-templando o conjunto de requisitos levantados, dentro do paradigma centrado noindivíduo, priorizando direitos e preferências do usuário, permitindo-o tirar maiorproveito do trade-off entre proposição de valor e exposição de dados pessoais, paraos serviços consumidos.

1.3. ESCOPO NEGATIVO 22

1.3 Escopo Negativo

O contexto de CI é bastante amplo e complexo, bem como o problema da provisão deprivacidade que se pretende abordar.

Apesar dos requisitos elencados como sendo recomendáveis para uma solução de privaci-dade em CI, é possível que, por falha humana ou publicação posterior à data que foi realizado olevantamento de trabalhos relacionados, alguma proposta com impacto significativo tenha ficadode fora.

Os seguintes aspectos não fazem parte deste do escopo tratado neste trabalho:

Mecanismos de segurança da informação: Este aspecto, implementado através de hardware,protocolos, algoritmos de criptografia, etc., não faz parte desta proposta. A própriasegurança da informação é um conceito a parte de privacidade, já que é possível mantermétodos e procedimentos seguros de acesso a informação e, ainda assim, violar o direitode privacidade de alguém. A intenção aqui é estabelecer um conjunto de guias no nívelprovedor/consumidor de serviços, do ponto de vista do usuário, já que a proposta temcomo fundamento o paradigma centrado no indivíduo.

Descrição formal de serviços: O conceito de serviços e suas políticas tratado neste trabalho ébem superficial e não apresenta nenhum formalismo semântico de descrição da naturezado serviço ou mesmo operações feitas entre eles, como comparação (similaridade), deter-minação de reputação etc., por tratar-se de um assunto ortogonal, que não é o foco destetrabalho.

1.4. PRINCIPAIS CONTRIBUIÇÕES 23

1.4 Principais Contribuições

Como resultado do trabalho apresentado nesta dissertação, pode-se destacar as seguintescontribuições:

� Estado da arte de privacidade em domínios inteligentes: Para a construção daanálise, este trabalho realiza uma extensiva pesquisa e análise de proposta de soluçõesde privacidade para ambientes inteligentes, entendendo-se que tais ambientes compõeuma CI;

� Requisitos de privacidade para domínios inteligentes: Como resultado da revisãosobre privacidade em ambientes inteligentes, este trabalho levanta um conjunto derequisitos comuns de privacidade, recomendáveis para soluções propostas para ocontexto de cidades inteligentes;

� Definição dos paradigmas de implementação de privacidade: Distinção dos trêsparadigmas de implementação de privacidade encontrados na literatura: centrado emdados, centrado no indivíduo e centrado no serviço;

� Privacidade a longo prazo Este trabalho propõe uma discussão de privacidade quedifere dos demais encontrados na literatura - em que privacidade é vista como umacontecimento imediato e episódico - dando-lhe um caráter mais urgente, sob umavisão a longo prazo;

� Métricas de auxílio à decisão de exposição: São apresentados três índices, a saber:Cálculo de Precisão de dados, Índice de Sensibilidade de dados e Índice de Similari-dade entre provedores de serviços, que servem de apoio ao indivíduo no momento dadecisão de exposição de seus dados;

� Framework de privacidade para Cidades Inteligentes: Framework conceitual deprivacidade, contemplando os requisitos vistos como essenciais dentro do paradigmade implementação de privacidade centrada no indivíduo;

� Condução de avaliação baseada em storytelling: Os métodos tradicionais de avali-ação encontrados na literatura, ou tinham envolvimento de aspectos de baixo nível, oudescreviam um processo não adequado à proposta, por priorizar o dado, ao invés doindivíduo. Com isso, buscou-se uma forma de estimular o engajamento dos usuáriosatravés de um método lúdico e dinâmico, isolando-o das preocupações da vida real.

Além das contribuições citadas acima, seguem as publicações geradas ao longo daelaboração e execução deste trabalho:

1.4. PRINCIPAIS CONTRIBUIÇÕES 24

� SILVA, W. M.; ALVARO, A.; TOMAS, G. H. R. P.; AFONSO, R. A.; DIAS, K.L.; GARCIA, V. C.. Smart Cities Software Architectures: A Survey. In: the 28thAnnual ACM Symposium, 2013, Coimbra. Proceedings of the 28th Annual ACMSymposium on Applied Computing - SAC ’13. New York: ACM Press, 2013. p.1722.

� SILVA, W. M.; TOMAS, G.H.R.P; GARCIA, V. C.; ALVARO, A.. Synaptic City:An architectural approach using an OSGI Infrastructure and GMaps API to build aCity Simulator. In: The 15th International Conference on Enterprise InformationSystems (ICEIS), 2013, Anger. Proceedings of the 15th International Conference onEnterprise Information Systems (ICEIS), 2013.

� TOMAS, G.H.R.P; SILVA, W. M.; GARCIA, V. C.; ALVARO, A.. Smart CitiesArchitectures: A Systematic Review. In: The 15th International Conference onEnterprise Information Systems (ICEIS), 2013, Anger. Proceedings of the 15thInternational Conference on Enterprise Information Systems (ICEIS), 2013.

� AFONSO, R. A.; GARCIA, V. C.; ALVARO, A.; TOMAS, G.H.R.P ; SILVA, W.M.. Br-SCMM: Modelo Brasileiro de Maturidade para Cidades Inteligentes. In: IXSimpósio Brasileiro de Sistemas de Informação (SBSI), 2013, João Pessoa. Anais doIX Simpósio Brasileiro de Sistemas de Informação (SBSI), Trilha Especial - SI e osDesafios do Mundo Aberto, 2013.

252525

2Fundamentação Teórica

Do not go where the path may lead you,

Go instead where there is no path and leave a trail.

—RALPH WALDO EMERSON

2.1 Cidades Inteligentes

Os aglomerados humanos que hoje conhecemos como cidades surgiram quando osantigos caçadores nômades aprenderam as primeiras técnicas agrícolas. Com os alimentosexcedentes que essas técnicas propiciavam, não era mais necessário que todos plantassem,surgindo a possibilidade de comercialização tanto de alimentos, quanto de ferramentas e outrosbens. Com a necessidade de mão de obra para sustentar o comércio, algumas pessoas partiramdo campo para esses aglomerados.

As cidades modernas só surgiram após a Revolução Industrial (1760) quando novastecnologias, distribuídas em larga escala, permitiram que as cidades se expandissem e crescessem,criando a necessidade e culminando no surgimento dos serviços urbanos que conhecemos hoje(Montagna, 2014; Reader, 2004; Kite, 2014).

Sob o ponto de vista tecnológico, as cidades também sofreram diversas alterações aolongo dos anos, utilizando TICs gradativamente, com o intuito de dar suporte aos serviços disponi-bilizados, de modo que sejam mais convenientes e acessíveis aos seus cidadãos e, principalmente,possam ser providos de forma mais eficiente e eficaz.

Dentro do histórico de evolução de cidades comuns, as Cidades Digitais, a exemplodas cidades cidades AOL (Fischetti, 2011) e das cidades de Kyoto e Amsterdam, criadas nosanos 90, são as primeiras criações tecnológicas reportadas na literatura em direção ao quehoje chamamos de CI (Ishida, 2002). Assim como nas Cidades Virtuais (Derudder, 2011), nasCidades Móveis (Anthopoulos and Fitsilis, 2010), nas Cidades Úbiquas (Gil-Castineira et al.,2011; Lee et al., 2011) e nas Cidades Cognitivas (Mostashari et al., 2011), o objetivo era criaruma infraestrutura que possibilitasse o acesso democrático a alguns serviços, disponibilizados

2.1. CIDADES INTELIGENTES 26

de forma virtual, diminuindo a dependência da intervenção humana em processos repetitivosque poderiam ser automatizados. Estas abordagens, devido ao foco em serviços, acabavamcriando silos de serviços, segregando informações que, se compartilhadas entre departamentos eorganizações, poderiam gerar insumo para implementação de melhorias na gestão urbana.

Em seguida, esses modelos de cidades evoluíram da atenção aos serviços, para o fluxode informação que esses serviços manipulavam. As Cidades da Aprendizagem (Plumb et al.,2007), as Cidades do Conhecimento (Anthopoulos and Fitsilis, 2010) e as Intelligent Cities

(Komninos and Sefertzi, 2009; Malek, 2009) visavam criar uma economia de informaçãobaseada em ações coletivas, oferecendo infraestrutura para troca de conhecimento, como suporteà propagação do conhecimento e ao crescimento de negócios locais, estimulando o aprendizado,o desenvolvimento tecnológico e a inovação, envolvendo pesquisa, desenvolvimento e evoluçãode produtos e novas tecnologias, servindo de esteio para indústrias inovadoras.

Até este momento, o uso da tecnologia no contexto urbano havia priorizado o esta-belecimento e manutenção de negócios, fundamentados em informações obtidas através dosserviços providos, e negligenciado o aspecto humano inerente e o benefício coletivo da tarefa,sem visar melhorias na qualidade de vida do cidadãos através dos serviços disponibilidos. Frenteà crescimento populacional apresentado na Motivação (Seção 1.1) deste trabalho, a atenção aomodo como o ecossistema urbano e suas dinâmicas impactam na qualidade de vida dos seushabitantes, assumem um carater emergencial. É neste cenário que se estabelecem as CidadesInteligentes (CIs).

O conceito de CIs surge da necessidade de gerir os diversos problemas decorrentes doaumento da população nos grandes centros urbanos, afetando serviços como transporte, saúdepública, gestão de redes de energia elétrica e água, saneamento básico, etc. (Winpenny, 2008).

De uma forma bem simplista, o gerenciamento de cada serviço sugere um monitoramentoconstante, suportado por mecanismos de coleta de dados. Estes dados podem ser processados eanalisados, gerando como resposta alguma ação que assegure ou auxilie a provisão de serviçosurbanos em níveis satisfatórios de qualidade e efetividade. Numa visão mais complexa, distribui-ção e integração são requeridos, tanto em relação aos elementos monitorados quanto à aplicaçãodas ações necessárias; os dados devem ser relacionados e o processamento e a análise devemlevar em consideração a influência de agentes externos e de outros serviços.

A visão complexa da aplicação de gerenciamento de serviços - distribuída e integrada- requer a utilização massiva de algum tipo de sensoriamento. É a partir de um conjunto desistemas de monitoramento que se pode construir uma visão holística (visão sistema de sistemas)da cidade, dedicada à manutenção eficiente de seus serviços, com o objetivo de melhorar aqualidade dos mesmos.

Especializando esta visão para um cenário onde cada objeto é provido de inteligênciae/ou tecnologia suficientes para transformá-lo em um provedor/consumidor de dados, é naturalimaginar as referidas distribuição e integração, onde cada nó (objeto) possui parte da informaçãonecessária para algum fim e tem uma responsabilidade específica de fazer esse dado chegar até


uma entidade centralizadora, capaz de processar e gerenciar os dados provenientes de diversas(eventualmente centenas ou milhares) fontes de dado. A este conjunto de objetos agindo deforma colaborativa, na busca de um propósito comum bem definido é chamado de Internet dasCoisas (IoT), que constitui um dos fundamentos tecnológios essenciais na implementação deCIs (Atzori et al., 2010; Haubensak, 2011).

Muitos dos problemas enfrentados pelas grandes cidades poderiam ser evitados, oumesmo minimizados, se aplicado o gerenciamento de serviços, usando TICs (Haubensak, 2011;Klein and Kaefer, ????). O monitoramento do tráfego em ruas e rodovias poderia alimentarsistemas de informações capazes de redistribuir o fluxo de veículos, através de rotas calculadasem tempo real; o monitoramento do consumo de energia elétrica de eletrodomésticos permitiriaotimizar sua operação, com base nos hábitos e necessidades dos residentes; desastres naturaispoderiam ser previstos em tempo hábil para que as ações adequadas pudessem ser tomadas. Estessão apenas alguns dos cenários nos quais a tecnologia poderia assumir um papel auxiliar emtomadas de decisões estratégicas.

A literatura contém diversos trabalhos que reportam algumas implementações de CIs,que por sua vez incluem uma quantidade significativa de tecnologias e conceitos. Por este motivo,para embasar a temática deste trabalho, iniciou-se em uma revisão, publicada em (da Silva et al.,2013), na qual buscaram-se analisar concepções de arquiteturas para CI, propostas em trabalhosna academia e na indústria, sob o ponto de vista dos requisitos que buscam satisfazer, a fim de seencontrar os problemas mais abordados na área, bem como os tópicos de pesquisa mais carentesde atenção. Estes requisitos serão brevemente comentados na subseção que se segue.

2.1.1 Requisitos para Cidades Inteligentes: Um Overview

A Tabela 2.1 sumariza os requisitos e os respectivos trabalhos estudados nos quais foramencontrados.

O requisito Monitoramento em Tempo Real representa uma importante característicainerente ao contexto de cidades inteligentes: o monitoramento contínuo e em tempo real. Omonitoramento em tempo real é o instrumental mais valioso para o fornecimento de informaçõesrelevantes que serão utilizadas para prever fenômenos. Um exemplo disso é o monitoramento donível dos rios durante as temporadas de chuva. Nesta situação, a partir de um monitoramentoefetivo, é possível tomar medidas para mitigar possíveis transtornos aos cidadãos, como enchentese a transmissão de doenças.

Interoperabilidade de Objetos é um requisito fundamental para a consolidação dequalquer plataforma que utilize uma gama de objetos com diferentes especificações técnicas eprotocolos de comunicação, no qual um objeto é uma abstração de sensor, atuador ou qualqueroutro dispositivo que possa realizar algum tipo de computação.

O trabalho também identificou a importância da Sustentabilidade. Por redefinir essenci-almente a dinâmica de uma cidade, propostas de implementação para CIs precisam incluir, desde


Tabela 2.1: Mapeamento Requisitos-Trabalhos

Requisito TrabalhosMonitoramento em tempo real (Al-Hader et al., 2009; Asimakopoulou and Bessis,

2011; Attwood et al., 2011; Filipponi et al., 2010;Hernández-Muñoz et al., 2011; PlanIT, 2012; Sanchezet al., 2011)

Interoperabilidade de objetos (Filipponi et al., 2010; Hernández-Muñoz et al., 2011;Lee et al., 2011; Zygiaris, 2013; PlanIT, 2012)

Sustentabilidade (SETIS, 2012; Haubensak, 2011; Klein and Kaefer,????; Lee et al., 2011; Zygiaris, 2013)

Dados históricos (Blackstock et al., 2010; Lee et al., 2011; PlanIT, 2012;Sanchez et al., 2011)

Mobilidade (Blackstock et al., 2010; Hernández-Muñoz et al.,2011; Sanchez et al., 2011; Zygiaris, 2013)

Processamento e sensoriamento dis-tribuídos

(Filipponi et al., 2010; Andreini et al., 2011;Hernández-Muñoz et al., 2011; Lee et al., 2011)

Tolerância a falhas (Hernández-Muñoz et al., 2011; Nam and Pardo, 2011;Sanchez et al., 2011)

Composição de serviço e gerencia-mento urbano integrado

(Anthopoulos and Fitsilis, 2010; Nam and Pardo, 2011;PlanIT, 2012)

Aspectos sociais (Asimakopoulou and Bessis, 2011; Klein and Kaefer,????)

Flexibilidade/Extensibilidade (Klein and Kaefer, ????; Lee et al., 2011)Privacidade (IBM, 2012; PlanIT, 2012)

sua concepção, políticas sustentáveis. Estas políticas devem estar relacionadas aos aspectosambiental, econômico e social de cada domínio.

Quanto ao requisito Dados Históricos, no contexto de CIs, todos os componentes quecompõem cada domínio de uma cidade estão constantemente sendo modificados, seja por eventoshumanos, naturais ou tecnológicos. Dessa forma, todo dado captado tem potencial para comporuma informação relevante, desde que seja agregado a outros dados, logo, torna-se substancialque as propostas contemplem mecanismos eficientes de armazenamento e consulta desses dados.

Por sua vez, a Mobilidade é outro requisito fundamental que deve ser explorado. Pormobilidade, entende-se toda e quaisquer tecnologias móveis, capaz de captar informações doambiente, passiva ou ativamente, ou atuar sobre o mesmo. A mobilidade é um dos principaisaliados para a implementação do monitoramento em tempo real. Ao considerar que 4 bilhõesde cidadãos já possuem smartphones Hall (2012), é natural associar mobilidade ao uso destesdispositivos. Porém outros dispositivos também podem ser utilizados, como ZigBee e RFID(Radio-frequency identification).

Para que sejam propostas soluções para o aumento da eficácia em serviços urbanos, énecessário que se façam aferições das características qualitativas ou quantitativas que permeiamesses serviços, bem como dos resultados que produzem. É através de sensoriamento que seobtêm a visão computacional do ambiente urbano; quanto maior o número de sensores e mais


disperso eles estiverem, maior será o escopo abrangido pela solução proposta. A heterogeneidadedos sensores utilizados influencia na riqueza de detalhes e na quantidade de dados que podemser extraídos de cada cenário sendo monitorado, tornando possível a obtenção de resultados maisprecisos; por exemplo, relatórios de trânsito em determinada via podem ser melhor analisadose complementados com imagens obtidas através de câmeras instaladas nas redondezas. Alémdisso, situações que exigem a adoção imediata de medidas preventivas ou corretivas requeremprocessamento em tempo real, com tempo de resposta rápido o suficiente para fundamentar asações que devem ser executadas. Considerando quantidades massivas de dados coletados, osuporte à esse tipo de contexto sugere a necessidade de processamento distribuído, explorando acapacidade da infraestrutura existente. Esses cenários caracterizam o requisito Processamento esensoriamento distribuídos (Hernández-Muñoz et al., 2011; Filipponi et al., 2010; Andreiniet al., 2011; Lee et al., 2011).

Outro requisito identificado como importante para permitir a captação de dados, é atolerância a falhas da infraestrutura subjacente, com mecanismos de controle de fluxo, colisãoe redundância devem ser inerentes à solução. Entretanto, a implementação de uma CI não podeser dependente da infraestrutura de cloud, ou seja, independente do estado da cloud, o sistemadeve continuar obtendo e armazenando os dados, inclusive atuando de forma autônoma (Sanchezet al., 2011; Hernández-Muñoz et al., 2011; Nam and Pardo, 2011).

O requisito Composição de serviços e Gerenciamento urbano integrado parte deuma visão sistêmica, na qual ambientes urbanos são essencialmente um conjunto de sistemascomplexos, disponíveis para suprir as necessidades de seus cidadãos. Qualquer implementaçãode CI que pretende dar suporte a esse tipo de sistema deveria considerá-los como complementaresna busca pelo gerenciamento urbano efetivo, ao invés de tratá-los de forma isolada. Assim sendo,serviços desenvolvidos para sustentar tais sistemas devem ser interoperáveis, de forma queoutros serviços possam reusá-los, agrupá-los ou criar uma composição a partir deles, explorandoimportantes aspectos de sua correlação, ou mesmo criar uma visão holística e contextualizada dacidade, agregando informações de diferentes fontes, permitindo uma gestão urbana mais efetivae integrada (Anthopoulos and Fitsilis, 2010; Nam and Pardo, 2011; PlanIT, 2012).

Tendo em vista que o propósito principal na concepção de uma cidade inteligente é oaumento na qualidade de vida de seus cidadãos, outro requisito que surgiu a partir do estudorealizado foram os Aspectos sociais. Apesar do aparato tecnológico ser um dos possíveiselementos que podem ser utilizados para a implementação de CIs, as pessoas precisam participare serem beneficiadas pelo processo, caso contrário, todo investimento será em vão. Um exemplodisso, é a Cidade Digital de Trikala, Grécia, que após cinco milhões de Euros gastos emmanutenção de infraestrutura e 6 anos de funcionamento, a população não utilizava ou sequertinha conhecimento dos serviços digitais disponíveis Anthopoulos and Fitsilis (2010). As pessoasprecisam sentir-se inclusas como parte fundamental da solução idealizada no conceito de CI.Para isso podem ser criadas formas de estimular e/ou retribuir esse interesse, como é caso dainiciativa Fun Theory Sweden (2009), da Volkswagen, na qual criam-se novas formas de se fazer


tarefas repetitivas, a fim de estimular a mudança de hábitos. Além disso, os serviços devem estardisponíveis para todos os cidadãos independente de quaisquer restrições social, física, econômicaou financeira, a tecnologia deve ser aplicada afim de trazer benefícios coletivos, e não alienar ouelitizar uma pequena parte da população (Asimakopoulou and Bessis, 2011; Klein and Kaefer,????).

A Flexibilidade/Extensibilidade também foi vista como um requisito relevante nasabordagens estudadas, apontando que mudanças, adaptações e extensões devem ser previstas,quando se estabelece uma CI. Além da inserção de novos serviços, novos tipos de sensores,diferentes tipos de dados coletados, diferentes contextos urbanos e funcionamento independentede padrões específicos de hardware devem ser contemplados, permitindo que possa ser adaptávela diferentes realidades (Klein and Kaefer, ????; Lee et al., 2011).

Todas as questões de manutenção de dados envolvidas na concepção de uma CI sãode suma importância. Porém, devem ser estabelecidas políticas de privacidade esclarecendoquais dados serão capturados e o que será feito com eles. Certamente a não consolidação destaspolíticas é um desafio que pode impedir os cidadãos, instituições e governo de forneceremdeterminados dados críticos, atravancando o sucesso na implantação e manutenção de uma CI.O requisito privacidade foi abordado com menor profundidade/relevância em apenas dois dostrabalhos estudados, (PlanIT, 2012; IBM, 2012), expressando preocupação com a garantia dessedireito aos cidadãos, apesar de ambos não disponibilizarem detalhes de como implementamprivacidade em suas soluções, o que impediu uma análise mais apurada do assunto no contextode CI.

2.1.2 Considerações

O levantamento desses requisitos permitiu que se pudessem identificar os tópicos depesquisa mais/menos abordados no contexto de CIs, indicando possíveis direcionamentos queo trabalho aqui apresentado poderia assumir. A escassez de trabalhos explorando o temaprivacidade a oportunidade que representa, foi o que despertou maior interesse, tanto pelainterdisciplinaridade, quanto pelo potencial das possíveis soluções vislumbradas.

O intuito de tratar o tema sob o ponto de vista de CIs deu-se pela visão de que, o usointensivo de TICs nas cidades, é uma tendência que representa uma evolução na forma de gestãourbana, utilizando serviços e informações em prol da qualidade de vida das pessoas. Entretanto,como consequência dessa evolução cria-se um ecossistema favorável ao uso desordenado dedados e informações pessoais, trazendo prejuízos para o cidadãos, anulando o efeito benéficoproposto pela tecnologia.

Na seção que se segue o tema privacidade será definido de acordo com a literatura, tendoseu significado estreitado para a conceituação que será utilizada ao longo do trabalho.

2.2. PRIVACIDADE 31

2.2 Privacidade

A escassez de trabalhos que abordassem o tema privacidade no survey brevementedescrito na seção anterior traz de volta o debate do direito à privacidade, que perdura desde aDeclaração Universal dos Direitos Humanos, em 1948, quando o assunto ainda não tinha teorpalpável e prático, com um caráter mais preventivo que corretivo, até os dias atuais. Após o casoSnowden1 e a ascenção do assunto para a mídia, o assunto ganhou atenção das massas. Esterequisito fomentou o interesse de desenvimento deste projeto de pesquisa, tanto pela atendimetoescasso por parte das implementações estudadas, quando pelas possibilidades vislumbradascomo possíveis soluções.

O significado de privacidade expandiu-se de acordo com a evolução dos sistemas deinformação, a forma como usuários interagem com eles (bem como a consciência desses usuáriossobre a forma como seus dados são tratados) e a proposição de valor que proporcionam. Apesarde não se ter encontrado um consenso literal, todas as definições direcionam para um cenárioonde uma pessoa possui controle sobre quem, quando, como, por que, para que, onde e porquanto tempo seus dados serão utilizados por algum provedor de serviço.

Diferente da dinâmica que tínhamos nos anos 70, em que os dados pessoais eram coleta-dos e sua utilização era restrita a um propósito único e específico, atualmente algumas técnicasde análise e/ou mineração de dados podem ser aplicadas para se estabelecer as correlações,predições, etc., gerando conhecimento mais profundo sobre o proprietário dos dados (Forum,2013), impedindo controlar as dimensões da exposição.

Na intenção de se regulamentar práticas para provisão de privacidade, as diretrizesde manutenção de privacidade propostos pela Organisation for Economic Co-operation and

Development (OECD)2(Publishing and OECD. Publishing, 2002) e pelo National Institute of

Standards and technology (NIST)3(Commission et al., 2007), convergem em um conjunto deprincípio que incluem a) transparência/abertura quanto às prática de uso de dados pessoais; b)

envolvimento do indivíduo no processo de utilização de seus dados pessoais, provendo mecanis-mos apropriados de gerenciamento; c) determinação do propósito para o qual o dado está sendocoletado, bem como limitação do uso subsequente apenas ao necessário para o cumprimento dopropósito especificado; d) coleta de dados diretamente relevantes e necessários para o propósitoespecificado, mantidos durante o tempo suficiente para que o propósito seja mantrrido; e) dadospessoas não devem ser divulgados, disponibilizados ou usados para propósitos diferentes doespecificado; f) organizações devem certificar-se de que os dados coletados são/estão corretos,relevantes, adequados e completos; g) os dados devem ser protegidos quanto à perda ou acesso

1Para mais informações http://bit.ly/1rrgZJp2Uma organização cuja missão é promover políticas que visam melhorar o bem-estar social e econômico das

pessoas ao redor do mundo, através de colaboração entre governos. Fonte: http://bit.ly/1oeDJt4, acessada em03/05/2014.

3Fundado em 1901, o NIST é uma agência federal dentro Departamento de Comércio americano, que visapromover a inovação e competitividade industrial através do avanço no campo de medições, padrões e tecnologia.Fonte: http://1.usa.gov/1kHHLt9, acessada em 03/05/2014.

http://1.usa.gov/1kHHLt9

2.2. PRIVACIDADE 32

não autorizado, destruição, uso, modificação e exposição não intencional ou inapropriado; e h)

organizações devem ser responsáveis pelo cumprimentos desses princípios, treinando e auditandosua aplicação em suas atividades.

Pode-se identificar este conjunto de requisitos embutidos nas regulamentações do uso dedados pessoais na União Européia, Estados Unidos e Brasil, conforme mostrado no capítulo 3, oque indica um consenso na implementação do conceito, ao menos no ponto de vista legal.

De acordo com a literatura, a noção de privacidade por ser divida em 4 categorias:

� Privacidade Territorial: que visa controlar observadores e interferentes, referindo-se à proteção de espaços físicos (ou territórios) privados (Chaum, 1981; Köningset al., 2010);

� Privacidade Física: diz respeito à proteção da integridade física das pessoas contraa procedimentos invasivos (Banisar and Davies, 1999);

� Privacidade de Comunicação: abrange a segurança e a privacidade de todas asformas de comunicação (Banisar and Davies, 1999);

� Privacidade de Informação: refere-se à proteção de dados pessoais, ou seja, quando,como e em que extensão esta informação é comunicada a outros, mantendo-se aqualquer momento sob o controle completo do usuário (Heinroth and Minker, 2011).

O presente trabalho não trata das 3 primeiras categorias - territorial, física e comunicação- e refere-se à privacidade de informação genérica e simplesmente como privacidade. Emtermos de definição-guia para posteriores discussões, considera-se um resumo dos trabalhosapresentados em (Publishing and OECD. Publishing, 2002; Cho et al., 2004; Heinroth andMinker, 2011) amplo o suficiente para estabelecer uma visão genérica de privacidade, adequadoao escopo do trabalho: privacidade é atingida quando não existem dados mantidos em segredo e,em caso de exposição, os princípios sobre a coleta, cujos procedimentos devem estar estritamentede acordo com um propósito bem definido, e armazenamento - que garante o controle do usuário- são seguidos de uma forma responsável, incentivando o engajamento dos usuários.

2.3. DIRECIONAMENTO 33

2.3 Direcionamento

Neste capítulo foram definidos os conceitos de CI e privacidade, úteis no desenvolvimentoe compreensão deste trabalho, bem como sua justificativa, baseada no resultado do survey sobresoluções de CIs, brevemente apresentado.

Na forma como são idealizadas hoje, CIs seriam projetadas para serem suportadas porum conjunto de serviços e infraestrutura essencialmente tecnológicos (e por que não dizer,com certa nuance futurista), construídos “do zero”, baseados na instalação e controle de umainfraestrutura robusta de hardware, software e comunicação, que dariam suporte aos requisitoscomuns, descritos na Seção 2.1.1 deste Capítulo.

Para as cidades já existentes, um processo de adaptação faz-se necessário, no qual ainfraestrutura de serviços e comunicação evolui gradativamente, adequando o uso de TICs àrealidade socioeconômica da cidade, guiados, por exemplo, pela implementação dos requisitoslevantados em (da Silva et al., 2013) ou ainda em um modelo de maturidade para CIs, como oproposto em (Afonso et al., 2013).

Contudo, em ambas situações, para que se complete o elenco de atuação efetiva parauma CI, é necessário o envolvimento das pessoas.

Pessoas são importantes em CIs por dois motivos básicos. Primeiro, por que cidades sãofundamentalmente constituídas de pessoas e processos, sistemas e serviços que giram em tornodelas; sendo o propósito principal promover um aumento e manutenção na qualidade de vida doscidadãos, seria ingênuo e imaturo ignorar a razão-de-ser das CIs: as pessoas. Segundo, comoapontado no livro Cidades Para Pessoas (Gehl, 2010), o autor Jan Gehl afirma que, considerandoque a maioria da população global tornou-se urbana ao invés de rural, as cidades terão quefazer mudanças cruciais em termos de planejamento e priorização, focando-se nas necessidadesdas pessoas que habitam/constituem/utilizam essas cidades; assim, o envolvimento das pessoasno processo implica em maior chance de compreensão dos problemas reais existentes, rumo asoluções que, efetivamente, produzam melhorias na qualidade de vida urbana.

Nas próximas seções deste capítulo serão discutidos a importância do envolvimentodas pessoas na implementação de CIs em sua plenitude e os problemas decorrentes desseenvolvimento.

343434

3Pessoas Como Sensores emCidades Inteligentes

Anybody who has been seriously engaged in scientific work of any kind

realizes that over the entrance to the gates of the temple of science

are written the words: ’Ye must have faith’.

—MAX PLANCK

De acordo com Ratti & Nabian (Ratti and Nabian, 2010) existem três mecanismosdistintos de se monitorar uma cidade, a fim de extrair dela as informações necessárias que,quando devidamente processadas, possibilitem a tomada de decisões melhor fundamentadas eefetivas.

O primeiro mecanismo, ou sensoriamento viral, beneficia-se de sistemas já instalados(assim como vírus, que se instalam em outros organismos vivos), para quaisquer outros propó-sitos, cujo funcionamento produz naturalmente informações que, quando justapostas, podemdeterminar a forma como a cidade funciona. O segundo mecanismo, rede de sensores, baseia-seem sensores físicos (fixos ou móveis) instalados no ambiente de interesse, responsáveis porcoletar variações nos atributos monitorados. O terceiro mecanismo, de maior interesse para estetrabalho, é baseado em pessoas - ou crowdsensing, e permite que, através dos dispositivos móveisque estas pessoas portam, se extraiam informações sobre determinado contexto, tanto através domonitoramento a nível indivídual, quanto a nível comunitário, sendo o último de maior benefíciocoletivo, trantando-se de cidades.

No monitoramento baseado em pessoas em nível comunitário, o envolvimento do in-divíduo pode se dar de forma ativa, voluntária (por exemplo, reportando trânsito em algumavia), ou oportunista, que ocorre de forma passiva, sem necessariamente envolver o usuário,gerando novos dados sempre que o estado do dispositivo corresponder aos requisitos da tarefade monitoramento (por exemplo, a coleta automática de informações de localização) (Gantiet al., 2011; Krontiris and Dimitriou, 2013). Através deste mecanismos, cria-se uma versão

35

digital paralela à cidade física, “gerando diferentes tipo de dados que provêem uma visão única

de como as pessoas vivenciam, trafegam e vêem a cidade; a população torna-se então uma

rede distribuída de sensores que nos permite entender os padrões dinâmicos da cidade e as

experiências de seus cidadãos, quase em tempo real” (Ratti and Nabian, 2010).

3.1. PESSOAS COMO SENSORES 36

3.1 Pessoas Como Sensores

O propósito em focar a dimensão humana em CIs é fazer com que cidades evoluam deespaços inteligentes para cidadãos conectados.

Enquanto uma infraestrutura de comunicação de qualidade é um elemento chave dentrode uma Cidade Digital, em uma CI este é apenas o primeiro passo; equipamentos de rede, pontosde acesso públicos e sistemas de informação específicos também podem ser considerados. Váriascidades no mundo já disponibilizam acesso gratuito via conexão sem fio pública, como Barcelona(Espanha), Taipei (China), Paris (França), Helsinque (Suécia), Los Angeles (Estados Unidos), noBrasil, cidades como Campinas, Sorocaba e Recife também oferecem o serviço com algumasrestrições1.

Além disso, graças à popularização do acesso à banda larga móvel - incluindo 3G (usandoWCDMA2), modem e 4G (usando LTE3) - e às taxas de adesão e planos acessíveis, permitemque, mesmo fora da área de cobertura dos pontos de acesso sem fio públicos, as pessoas possamcontinuar conectadas. Aliado a isso, as estatísticas sobre o aumento no número de smartphones

e do uso de Internet móvel nestes dispositivos aponta para um quadro promissor da inclusãodestas pessoas como sensores. Uma pesquisa feita pela IDG Global Solutions, em 2011, mostraque 74,6% dos brasileiros navegam na Internet diariamente e 71,7% baixam e usam aplicaçõesmóveis. Outra pesquisa, feita pela IDC, uma subsidiária da IDG no Brasil, mostra que com basenos dados consolidados do mercado brasileiro de celulares em 2013, 11,5 milhões de unidades desmartphones, um volume de 123% em relação ao ano anterior, com expectativa de crescimentopara os 4 anos seguintes4.

A vantagem da democratização da conectividade, é que os cidadãos tornam-se aptos aacessar e gerar conteúdo, permitindo que as cidades se tornem grandes hospedeiras de sensores“vivos”, de forma que as informações poderiam ser utilizadas para ajustar recursos e serviçosurbanos de acordo com a necessidade dos cidadãos (Ratti and Townsendn, 2011). Em suasatividades diárias, pessoas geram dados em diferentes situações: transações online, emails,vídeos, imagens, cliques, logs de navegação, termos de busca, registros de saúde e interações emredes sociais, além dos dados recolhidos a partir de sensores pervasivos implantados na própriainfraestrutura, tais como redes de comunicação, redes de energia, satélites de posicionamentoglobal, ruas, residências, prédios, escritórios, automóveis, etc., que poderiam, além de monitorar

1Informações obtidas em http://bit.ly/1r9Oz5i, http://bit.ly/PnXQZk, http://bit.ly/1tt8Che, em 21/04/2014

2Do inglês Wideband Code Division Multiple Access, Acesso Múltiplo por Divisão de Código de Banda Larga,o WCDMA é um padrão de interface aérea, designado pela International Telecommunication Union como parteparte do sistema de comunicação móvel 3G, usado em redes UMTS(Universal Mobile Telecommunications Sytem)e HSPA(High Speed Packet Access), que pode transportar dados a altas velocidades, permitindo que operadorasde telefonia móvel forneçam serviços multimídia mais sofisticados, como stream de música, TV, vídeo e acesso àInternet banda larga. Fonte: http://bit.ly/1nksD8h

3Do inglês Long Term Evolution, é uma tecnologia de rede móvel que representa uma evolução do padrão ecaracterísticas do 3G. Fonte: http://bit.ly/1i8Pl1f

4Fontes: http://migre.me/iTl10, http://migre.me/iTkZA, acessados em 22/04/2014

http://bit.ly/1r9Oz5i

http://bit.ly/PnXQZk

http://bit.ly/1tt8Che

http://bit.ly/1tt8Che

http://migre.me/iTl10

http://migre.me/iTkZA


informações sobre seu próprio status, coletar informações sobre o ambiente (Asimakopoulouand Bessis, 2011; Tene and Polonetsky, 2012).

A grande dificuldade identificada no uso de sensores físicos é que, além de estáticos, e ocusto para implantação pode não condizer com as condições econômicas da cidade.

Geralmente sensores visam coletar dados, enviá-los para alguma entidade centralizadora,permitindo-os serem aproveitados de forma oportuna. Comumente eles estão espalhados emalguma área de interesse, focando em propósitos de aplicação específicos (Campbell et al., 2006).Com isso, o monitoramento fica suscetível a uma visão imediata do ambiente e depende deintervalos de tempo para ser atualizado.

Pessoas, ao contrário de sensores físicos, estão em constante movimento quase o tempotodo, além de estarem imersas em um entorno dinâmico e em constante mudança, possibilitandouma maior abrangência na área monitorada (Ma et al., 2014). Quando cidadãos estão envolvidosno processo de coleta de dados urbanos eles podem examinar seu entorno, reunindo informaçõessobre ele, tanto do panorama humano, quanto do físico, ajudando a compreender diversosaspectos de algum fenômeno, evento ou contexto de interesse (Nandakumar et al., 2013). Nestecaso, os próprios cidadãos constituiriam produtores e consumidores de informação, graças àshabilidades nativas de ver e ouvir, à onipresença dos smartphones e seus aplicativos e ao adventoda Web 2.0, que impulsionou uma explosão de compartilhamento de informação (Lioudakiset al., 2009).

Alguns trabalhos encontrados na literatura, brevemente descritos nos parágrafos que seseguem, discutem a importância da atuação humana na construção, desde cidades digitais, àsubíquas até as inteligentes.

Recentemente, alguns estudos provaram o potencial dos dados provenientes de dispositi-vos móveis, originados de um novo paradigma chamado crowd computing ou citizen science.Estes estudos mostraram que dispositivos e sensores móveis podem ser usados por cidadãoscomuns, que coletariam dados úteis para diferentes propósitos. Através da colaboração, oscidadãos também adquiririam um maior conhecimento sobre o que está acontecendo em seuentorno e, paralelamente, as organizações poderíam facilmente (e sem esforço) identificar asnecessidades e desejos de seus consumidores (Paulos, 2009).

Similarmente, Asimakopoulou & Bessis (Asimakopoulou and Bessis, 2011) descrevemuma arquitetura para gerenciamento de desastres e aponta para atuação coletiva como umaalternativa de implementação de formas para que a comunidade possa contribuir e, ao mesmotempo, receber informações úteis de acordo com o cenário atual. Este mecanismo de coleta dedados poderia levar a informações mais precisas e atualizadas relacionadas a diferentes aspectos,por exemplo, no caso de uma epidemia, a identificação, posicionamento e condições de saúdedas pessoas afetadas e o posicionamento e status das equipes médicas seriam informações úteis eessenciais para definição das medidas a serem tomadas; no caso de uma catástrofe ambiental,informação sobre os locais de risco, identificação das condições ambientais e posicionamento estatus das equipes de resgate determinariam os passos necessários para uma atuação efetiva.


(Lee et al., 2011) e (Dirks and Keeling, 2009) concordam que dispositivos móveis,aliados à redes de alta velocidade e de longo alcance e sensores embutidos no ambiente provêemo fundamento técnico para uma cidade com serviços disponíveis em qualquer lugar, a qualquertempo, abrindo oportunidades para gerenciamento urbano mais efetivo e eficiente.

Paralelamente, em (PlanIT, 2012), uma iniciativa por parte da indústria, que interpreta acidade como um organismo na qual, tanto os elementos físicos, quanto os humanos, interoperamentre si, sendo os últimos elementos críticos para que as cidades sejam bem sucedidas e prósperassocial e ambientalmente, tornando um lugar melhor para se viver. Os autores também afirmamque, apesar dos aumentos no nível de inteligência e automação a ser aplicada no projeto dasfuturas cidades, cada serviço e cada atividade exige a participação de pessoas. O trabalho propõeum cidadão com múltiplos papéis, que interage com a cidade, suas construções, infraestrutura eserviços, tirando vantagens de seus dispositivos móveis.

Já em (Nam and Pardo, 2011), propõe-se o conceito de Smart People, afirmando que osproblemas associados às aglomerações urbanas podem ser resolvidos por meio de criatividade,cooperação entre stakeholders e suas brilhantes ideias - as soluções inteligentes.

Uma abordagem parecida é proposta em (Pan et al., 2011), no qual se descreve ummétodo para mensurar a inteligência de uma cidade, com uma dimensão Smart Citizen (CidadãoInteligente), construindo-se uma estrutura de índices para revelar a efetividade na melhoria daqualidade da vida urbana, focada na capacidade da infraestrutura de TIC e em aplicações paracoletar feedback sobre a satisfação dos residentes, avaliando suas habilidades e experiências.

Campbel et al. (Campbell et al., 2006) descreve a MetroSense, uma arquitetura de redepara sensoriamento centrado em pessoas, em escala urbana, baseada no paradigma de rede desensores oportunistas (Kapadia et al., 2009), na qual indivíduos em posse de seus dispositivosmóveis, coletam informações dentro de sua rotina diária, direta ou indiretamente relacionadas àsatividades humana e à forma como as pessoas interpretam e interagem com o ambiente ao seuredor.

Um outro viés, apresentado em (Chillon, 2012), vai em direção às políticas de dadosabertos que estão sendo implantadas mundialmente e às iniciativas públicas liberando o acessoaos dados públicos, gratuitamente, para que as pessoas interessadas criem aplicações que dêemutilidade àqueles dados. O modelo de uso de dados abertos foi aderido rapidamente por entidadesgovernamentais no mundo todo, deixando a solução de problemas/anseios urbanos públicospor conta dos próprios cidadãos, os principais interessados. Abrir informação pública parautilização propicia a oportunidade de se explorar outras formas de oferecer serviços públicos que,tradicionalmente, são providos pela administração pública, fomentando inovação e engajamentocivis.

Como se vê, a importância e forma de atuação das pessoas, enquanto cidadãos, se dá dediversas formas: tanto como produtores de dados e informações, quanto consumidores. O que senota em comum nos trabalhos estudados é o consenso de que, incluir o cidadão como parte dasolução, alavanca e justifica a transformação de cidades comuns em CIs.


Pode se dizer que, estabelecendo-se pessoas como a base (ou “ingrediente” principal)da solução, ao invés de TICs, pura e simplesmente, materializa-se um conceito plenamenteabstrato de CI - movido a casas autogerenciáveis, carros autodirigíveis, sistemas de transporte ecirculação resilientes, redes de eletricidade autosuficientes e assim por diante - expressada atravésde campanhas de teor quase que publicitário por grandes empresas como IBM, Siemens e Cisco,como discutido em (Greenfield, 2013), e se instaura uma implementação onde os problemasurbanos (tão específicos quanto a própria natureza da cidade em questão) são solucionados em“partes", eventualmente com tecnologia, refletindo em ações/resultados mensuráveis no “todo".

Porém, o problema que surge a medida que se utilizam pessoas como sensores, é queos dados manipulados podem incluir informações de teor pessoal, cuja exposição violaria aprivacidade individual. As seções que se seguem vão discutir a extensão dessa violação namanipulação de dados pessoais, agravada pelo acúmulo dos mesmos em bancos de dados forado controle dos indivíduos e pelas capacidades de análise, correlação e mineração de dadosexistente no cenário computacional atual.

3.2. A PROBLEMÁTICA 40

3.2 A Problemática

Quando se pensa em pessoas como sensores em sua máxima extensão, na qual interaçõesde quaisquer natureza assumem importância enquanto passíveis de registro, não são poucas asoportunidades em que isso se apresenta como uma alternativa mais que viável, tanto em suaforma passiva - sem participação explícita ou consentimento - quanto ativa, de livre e espontâneavontade.

Geralmente a atuação como sensores vivos se dá através de aplicações para dispositivosmóveis, tipicamente munidos de vários sensores - como Global Positioning System (GPS), sensorde inércia, de proximidade, luz, bússola, microfone, câmera, etc. - habilitados para uso deInternet. Porém, existem outras formas de interação que transformam nossos dados e açõesem informação de utilidade para algum contexto/domínio, a exemplo das atividades diáriasmencionadas na Seção anterior.

Além dos dados e respectivos contextos já mencionados, considerando uma escala mas-siva, o monitoramento contínuo, o efeito incremental (como chamado em (Tene and Polonetsky,2012), devido ao fato de, uma vez o dado exposto online, torna-se quase impossível recuperá-loou excluí-lo), a capacidade de análise sofisticada e a forma como os dados são armazenadosatualmente, fazem com que os dados sejam cada vez mais granulares, reveladores, permitindoque as corporações consigam extrair mais informações sobre os indivíduos aos quais se referem,aumentando sua competitividade sobre a concorrência através de vantagens injustas sobre osconsumidores; concomitantemente, podem-se levantar questionamentos a respeito dos processosde tomada de decisão automatizados, que imputam as decisões sobre a vida de um indivíduo -tais como avaliação de crédito, perspectiva de trabalho e elegibilidade para a cobertura de seguroou benefícios - para métodos automatizados baseados em algoritmos e inteligência artificial(Rubinstein, 2013).

Uma pesquisa realizada na União Europeia, denominada Eurobarometer (eur, 2011),tinha como objetivo compreender o entendimento dos europeus com relação à exposição dedados pessoais, sua consciência de como essas informações podem ser armazenadas para futuraanálise, suas preocupações em relação a esses novos usos de seus dados pessoais, suas formas deproteger esses dados e suas expectativas em relação à regulamentação da proteção aos dados.

Parte dos entrevistados reconheceu que não há alternativa além de expor seus dados seo que se quer é obter produtos ou serviços. Quando questionados sobre a responsabilidade domanuseio seguro dos dados em redes sociais e/ou sites de compartilhamento, a maioria dosinternautas (74%) achavam que deviam ser eles mesmos os responsáveis, contanto que lhesfossem disponibilizados mecanismos para fazê-lo. Quando concedida a oportunidade de nomearuma segunda entidade a quem responsabilizar, os resultados mencionavam redes sociais ou sitesde compartilhamento (73%); as autoridades públicas foram muito menos citadas (45%), apesarde reconhecer que sanções para violações nos direitos de proteção aos dados, impondo umamulta em organizações que fizessem o uso de dados pessoais sem conhecimento/consentimento


prévio, deveriam ser a principal prioridade dessas entidades.Em novembro de 2012, uma pesquisa realizada no Brasil pela FutureSight (FutureSight,

2012), a pedido da GSMA5, uma representante dos interesses da indústria mundial de comuni-cação através de dispositivos móveis, agregando aproximadamente 800 operadoras de serviçosde telefonia móvel e mais de 200 corporações do ecossistema móvel, incluindo fabricantes,indústria de software, equipamentos, geradores de conteúdo digital – como ela mesmo se des-creve – buscou estudar meios de prover aos usuários formas contextualizadas e amigáveis degerenciamento de informações e privacidade em dispositivos móveis. O propósito geral eraentender as preocupações do público brasileiro sobre privacidade e como essas preocupaçõesinfluenciavam suas atitudes frente ao uso de serviços e aplicações móveis (na Internet), com ointuito de desenvolver uma experiência de privacidade efetiva e consistente, ajudando usuários ase tornarem familiarizados com a forma que gerenciam sua privacidade em dispositivos móveis.

Quando questionados sobre suas preocupações com relação à privacidade de seus dados,86% dos usuários manifestaram essa preocupação quando acessavam a Internet ou aplicaçõesde um dispositivo móvel. Entretanto, desse percentual, 66% estariam dispostos a continuar autilização, independente do risco, e 32% continuariam a utilização se pudessem sentir que suasinformações estariam em segurança.

Dos entrevistados, 81% se consideravam seletivos na decisão de para quem exporiamseus dados e, 2 em cada 3 usuários, verificavam as informações que uma aplicação quer acessarantes realizar a instalação. Apesar de manifestar essa consciência de escolha, 51% assumiramconcordar com os termos de privacidade sem lê-los e, desse percentual, 74% justificaram quenão o fazem porque os termos são muito extensos.

Um dos tipos de informação mais coletados pelas aplicações, a localização, também foiassunto da pesquisa. Dentre os usuários que utilizavam serviços geolocalizados, 92% disseramque gostariam de ser perguntados sobre a permissão de compartilhamento de sua localização;além disso 78% manifestaram preocupação com o acesso de terceiros à sua localização e 55%acreditam que deveria ser estabelecido um conjunto consistente de regras a serem aplicadas nestasituação.

Sobre a culpa, em caso de violação de privacidade, a maioria (58%) respondeu que recor-reria às operadoras de telefonia móvel, independente de quem fosse a culpa. Isso provavelmentese deve ao fato de 52% dos entrevistados acreditarem (cegamente) que as operadoras estavamtomando as devidas precauções para manter seus dados em segurança.

Em ambas as pesquisas, o que se nota é que falta uma preocupação de empresas, governoe desenvolvedores de aplicações quanto à perspectiva do usuário sobre o contexto geral de usode seus dados. Neste sentido, pode-se constatar que falta transparência, com meios esclarecidospara que o usuário possa optar por usar uma funcionalidade ou autorize que ela seja executada(automaticamente), dentro de um escopo de exposição controlado pelo usuário a todo tempo,que seria o cenário minimamente ideal na provisão de serviços que lidam com dados pessoais

5http://www.gsma.com/, acessado em 22/04/2014

http://www.gsma.com/


(Walravens, 2011).Finalmente, o problema de uma abordagem centrada em pessoas é que os humanos são

entidades de comunicação/sensoriamento naturalmente passivas, em grande parte do tempo nãoenvolvidas no processo, aguardando algum estímulo externo que se traduza em proposição devalor em algum nível (pessoal, social, econômico, cultural, por exemplo), que torne a troca justa(Lee et al., 2011). Com isso, para tornar pessoas em sensores efetivamente, as aplicações têmque sentí-las, suas necessidades, desejos, seu entorno, suas interações com o meio em que estãoimersas e com as pessoas à sua volta, sem requerer delas a execução de tarefas tediosas (comoabrir/acessar uma aplicação diversas vezes, preencher formulários ou pressionar botões) com oúnico propósito de fazê-las atuar como fonte de dados. É necessário engajá-las com aplicaçõesque proporcionem algum valor agregado, ajudá-las a lidar com sua rotina cotidiana e, baseadoneste tipo de interação e de forma transparente, torná-las em sensores urbanos vivos.

A visão das pessoas registradas pela pesquisa retrata uma visão imediatista sobre oassunto. Entretanto, todo este cenário de privacidade se agrava quando se pensa a longo prazo.Como já citado anteriormente, o monitoramento constante ao qual as pessoas estão expostas,aliado à evolução tecnológica atual, regada à computação em nuvem, big data e conceitosadjacentes, elevam o tema privacidade para um nível mais sofisticado e um tanto quanto nãoexplorado, que se intersecta com mecanismos legais que vêm sendo criado para dar respaldo aocidadão comum. É sobre essa intersecção que a seção a seguir vai discutir.

3.3. PESSOAS COMO SENSORES, LEIS E BIG DATA 43

3.3 Pessoas Como Sensores, Leis e Big Data

Apesar do conceito de Big Data ainda não estar bem delineado, dado o avanço na geraçãoe complexidade das informações que TICs têm de (ou deveria) lidar nos dias atuais, uma sínteseda definição do termo, entendida como adequada para o escopo deste trabalho, é a combinaçãodas discussões encontradas em (Forum, 2013) e (Meira, 2014), baseada em (Laney, 2001). Big

Data refere-se à qualquer coleção de dados, cuja combinação de volume, variedade (de fontes etipos de dados) e velocidade (em termos de geração, captura, natureza e ciclo de vida dos dados),da qual se permite, através de algum tipo de computação, “gerar significados para modelos e

processos de negócios para os quais estão sendo levados em conta”.Independente do quão familiar ou estranho seja o conceito, é um fato conhecido pela

grande parte das pessoas que as empresas costumam guardar nossos dados desde longas datas,quando os dados ainda eram preenchidos à mão, em formulários impressos; até então esses dadoseram recursos estáticos, com propósitos aparentemente bem definidos, geralmente esclarecidosno momento da coleta. Entretanto, o que muitas pessoas não tem consciência hoje, é que aextensão do uso dos dados fornecidos vão além do explicitado e, neste sentido, não é requisitadoconsenso do indivíduo para agir dessa forma.

Quando usado como um recurso unilateral de provisão de informação, Big Data permiteque seus detentores expandam sua capacidade de atuação com conhecimento suficiente para pros-pecção de ações melhor fundamentadas e, possivelmente, com maiores chances de efetividade.Mesmo que a justificativa tácita do uso desses dados seja a personalização de produtos e serviços,uma vez que não existem regras para que [os dados] possam (ou não) ser inclusos, ao mesmotempo que permite a geração de ações com embasamento consistente, oportuniza a exposiçãode dados pessoais e desequilibra o nível de informação na relação provedor/consumidor deprodutos/serviços, impedindo escolhas informadas no lado consumidor e possibilitando que olado provedor tire vantagem, ou faça mau uso, das necessidades de seus consumidores (Krontirisand Dimitriou, 2013).

No aspecto legal, muito se tem avançado quanto à regulamentação da manutenção do usode dados pessoais, com objetivo de aumentar a confiança, tanto nos serviços utilizados, quantona tecnologia em si, criando regras claras e robustas que permitam que as empresas cresçamdentro de um arquétipo de proteção de dados que as tornem confiáveis e mais competitivas.

Na União Europeia, desde Outubro de 1995, já existia um conjunto de leis que visavamregulamentar privacidade, a European Union Data Protection Data Protection Directive 95/46

(DPD), do Parlamento Europeu e do Conselho de 24 de Outubro de 1995 sobre a proteçãocom relação ao tratamento dos dados pessoais. Depois de 17 anos, quando novas formas decomunicação mudaram a forma como as pessoas compartilham informação e com o surgimentode um novo paradigma de armazenamento dessas informações (armazenamento remoto, graças àcloud computing, ao invés de local), em Janeiro de 2012, uma reforma foi proposta ComissãoEuropéia (CE), dando mais poder de decisão aos cidadãos sobre seus dados (European Comission,


2012).A reforma foi vista como necessária porque, o impacto gerado pelo advento de Big

Data na antiga DPD, afetava a transparência e manisfestação do consentimento por parte dosindivíduos em fazer uma escolha informada sobre o compartilhamento de suas informações comas organizações. A situação agravou-se com o surgimento de técnicas de mineração e análisede dados. Isso porque, não se pode saber com antecedência o que será descoberto a partir deuma coleção de dados, sendo assim, os usuários não têm o mínimo conhecimento das potenciaiscorrelações que podem ser geradas, ficando impossibilitados de fundamentar seu consentimento.

Com isso, a proposta da CE visava assegurar que as pessoas fossem devidamente es-clarecidas sobre quando seu dado seria processado, sendo sempre precedido pela declararaçãoexplícita de consentimento. Outra parte da nova regulamentação descrevia o princípio do direito

de ser esquecido, no qual, uma vez que o indivíduo não queira mais que seu dado seja utilizado,uma empresa não possui mais o direito de mantê-lo, sendo obrigada a excluí-lo de sua base dedados. O conceito de consentimento foi descrito nos artigos 4 e 7 da reforma, como não só sendode livre e espontânea vontade do usuário, específico e informado, como explícito, ou seja, nem oditado “quem cala consente”, nem mesmo inatividade constituiam consentimento válido.

A CE também defendeu o direito de livre e fácil acesso aos dados pessoais, facilitando quequalquer pessoa pudesse ter controle de quais informações pessoais eram mantidas por empresase autoridades públicas, bem como transferir esses dados de um provedor de serviço para outro, deacordo com os interesses individuais (o chamado Princípio da Portabilidade de Dados). Propôs-setambém que as empresas notificassem os indivíduos e autoridades competentes em caso de algumdado ser, acidental ou intencionalmente, destruído, perdido, alterado, acessado ou exposto porpessoas não autorizadas. Um último princípio proposto, instituiu que medidas de proteção aosdados fossem inclusas em produtos/serviços desde a sua concepção e que configurações deprivacidades user-friendly fossem normatizadas (Rubinstein, 2013).

Nos Estados Unidos, a primeira versão da regulamentação que garantia a proteção contraa invasão da privacidade pessoal, foi o Ato de Privacidade (em inglês, Privacy Act), em 1974.Ele estabelecia controle sobre os dados pessoais coletados, mantidos, utilizados e disseminadospelas Agências Federais, onde se fazia possível recuperar informações pessoais baseado emalgum parâmetro de identificação do indivíduo.

Resumidamente, o Ato de Privacidade garantia o direito do indivíduo de acessar e al-terar os registros sobre si próprio e o direito de proteção contra invasões de privacidade nãojustificadas, resultado da coleta, manutenção, uso e exposição de informações pessoais (of StateFreedom of Information Act , FOIA). Com o surgimento de novas formas de comunicação einteração com serviços online, bem como a transição de dados/metadados estruturados paranão estruturados, houve uma mudança significativa na complexidade e nos desafios das orga-nizações federais americanas, cuja visão tradicional de manutenção de privacidade era focadaprincipalmente em assegurar confidencialidade, exigindo que se expandisse essa visão a fim deatender as expectativas dos cidadãos a esse respeito, que vai além de segurança da informação


(Computer Security Division, 2013). Com este propósito, o documento Controles de Segurançae Privacidade para Sistemas de Informação e Organizações Federais (em inglês, Security and

Privacy Controls for Federal Information Systems and Organizations), divulgado pelo NIST(Computer Security Division, 2013), em Abril de 2013, fornece um conjunto de medidas paraimplementação de privacidade, separados em famílias de controles e um roadmap de como elespoderem ser colocados em prática. Estas medidas foram baseadas nos Fair Information Practice

Principles, publicados em (Commission et al., 2007), incorporadas no Ato de Privacidade.Similarmente, no Brasil, a primeira referência sobre formas de proteção aos dados

pessoais iniciou-se com a Lei Nº 7232, de 29 de Outubro de 1984, onde se dispõe sobre aPolítica Nacional de Informática, na qual se estabelecem guias para uma política nacional sobreo desenvolvimento da tecnologia, que determina a criação de meios para proteção do sigilo dosdados e do interesse da privacidade e de segurança de pessoas físicas e jurídicas (da RepúblicaCasa Civil Subchefia para Assuntos Jurídicos, 1984). Desde então, a Constituição Federal (1988)(Senado, 1988), a Lei Geral de Telecomunicações (1997) (da República Casa Civil Subchefia paraAssuntos Jurídicos, 1997) e o Código Civil Brasileiro (2003) também deram sua contribuição naproteção da privacidade dos dados pessoais.

Mesmo com todos esses mecanismos legais, ainda era possível encontrar brechas quepermitiam às empresas tirar vantagens de seus consumidores, usando de estratagemas tecno-lógicos para gerar lucro. Desde então, apesar de intensas discussões sobre a necessidade deadequações às mudanças tencnológicas que ocorreram ao longo dos anos, não havia se propostouma regulamentação específica para Internet, levando em conta as tecnologias envolvidas e suasconsequências.

Desde o primeiro texto, apresentado em 2010, o acontecimento fundamental rumo àconcretização do Marco Civil foi em junho de 2013, quando Edward Snowden, ex-agenteda National Security Agency (NSA), trouxe a conhecimento público vários documentos queescancaravam os trâmites de um monitoramento virtual de proporções mundiais, promovidospelos americanos contra diversos governos, incluindo o Brasil. A partir de então, a questãoprivacidade ganhou caráter de urgência e, finalmente, em 23 de abril de 2014, a presidente DilmaRoussef sancionou o Marco Civil, que entrará em vigor em junho do mesmo ano (Seligman,2014)(Ventura, 2014).

O Marco Civil declara a Internet como sendo fundamental no exercício da cidadaniaem meios digitais e garante o direito de inviolabilidade e sigilo da intimidade e da vida privadae do fluxo de comunicações pela Internet. Os fornecedores de serviços via Internet terão queprover informações claras e completas sobre seus procedimentos de coleta, uso, armazenamento,tratamento e proteção dos dados pessoais de seus usuários, e poderão usá-los apenas mediantepropósitos bem especificados, mediante consentimento expresso pelo usuário, sobre cada etapado ciclo de vida de seus dados, quando em posse do provedor de serviço.

Uma prática comum entre provedores de serviço online é que os dados são coletados,tratados e vendidos a terceiros, que podem colher vantagens a partir dos mesmos. O Marco Civil


estabelece como direito do usuário que suas informações (dados pessoais, inclusive registrosde conexão e de acesso a aplicações na Internet) não podem ser usadas para um fim diferentepara o qual foram fornecidos, salvo sob consentimento livre e expresso do indivíduo ao qual asinformações se referem (Nacional, 2014).

Como se pode ver, nas três regulamentações brevemente descritas, o impacto sutil que Big

Data possui sobre a privacidade das pessoas - mesmo que o termo não tenha sido explicitamentecitado - faz com que os mecanismos legais expressem minuciosamente a conduta esperada deprovedores de serviço e empresas de telecomunicação, principalmente no que diz respeito àmanutenção a médio/longo prazo de dados pessoais, de modo que não interfira nos direitosbásicos das pessoas.

A regulamentação europeia destaca-se por sua rigidez e pioneirismo, características taisque estimularam os demais governos a fazer o mesmo e dar maior importância às questões deproteção dos dados de seus cidadãos. O detalhe mais interessante aqui é a forma como o textofoi escrito tornando o indivíduo como referência, ao invés de seus dados; os princípios descritospodem perfeitamente tornarem-se um guia para engenheiros de usabilidade e desenvolvedores,no momento da concepção de novas aplicações.

Por sua vez, as guias de controles de segurança e privacidade propostas nos EstadosUnidos pelo NIST, apesar de extensa, detalhista e de múltiplos papéis, oferece uma organizaçãomais integrada, dependente de várias entidades; como possui um foco mais operacional, seorganizado de forma que cada aspecto seja tratado como passível de evolução, poderia-se proporum modelo de maturidade de privacidade, tendo como resultado final uma implementaçãocompleta dos controles especificados.

O Marco Civil, proposto no Brasil, fundamenta-se na relação entre cidadãos, empresase governo, focando-se principalmente na forma como os serviços devem ser prestados, com ointuito de manter privacidade e a intimidade das pessoas. Apesar de ser baseado no modeloeuropeu, diferencia-se em seu foco no dado, ao invés de no indivíduo, trazendo mais atenção aociclo de vida dos dados, colocando o indivíduo como uma ferramenta auxiliar na provisão deprivacidade, possivelmente devido ao seu caráter regimentar.

Uma vez estabelecida a relação entre privacidade de dados pessoais, tecnologia e me-canismos legais, a seção a seguir fala sobre alguns conflitos de interesses eles e discorre sobrepropostas encontradas na literatura para mitigar ou minimizar esse conflitos.

3.4. PRIVACIDADE PARA PESSOAS COMO SENSORES 47

3.4 Privacidade Para Pessoas Como Sensores

O propósito principal de CI é transformar uma cidade comum, em um ambiente queproporcione uma melhor qualidade de vida. Neste sentido, a melhor medida de que o objetivoestá sendo atingido são as pessoas, se elas estão satisfeitas, então o propósito está sendo cumprido.Entretanto, não há como implementar mudanças e melhorias sem saber o que é necessário mudarou alterar e, neste aspecto, assim como na medição de resultados, pessoas também são essenciais(Tene and Polonetsky, 2012). Sendo assim, a justificativa principal deste trabalho não é outra,senão entender como melhor envolver as pessoas nesse processo complexo, e fazer com queelas sejam parte principal do progresso por meio da evolução de dados, para conhecimento e,finalmente, para ação.

É dentro deste cenário de necessidade de dados que surge Big Data, como uma forma detransformar dados brutos em informação útil. Neste ponto, considerando o que foi levantadona seção anterior, vários são os desafios e contradições: transparência, por si só se perde naforma com que as empresas entregam sua proposição de valor, mais focada “em que", doque “em como", i.e., o serviço e seus benefícios, não suas entrelinhas; minimização de dados,por definição, se contrapõe à Big Data, no qual quanto mais dados úteis disponíveis, maior acapacidade de geração de conhecimento, de descoberta de novas correlações, através de técnicassofisticadas de análise de dados que, sem uma grande coleção de dados, perdem seus benefíciossociais e econômicos associados (Rubinstein, 2013); portabilidade de dados, assim como natransparência, requer o desprendimento das empresas dos dados que possuem, concordância emadotar padrões abertos e garantir ao usuário a liberdade de escolha sobre o provedor de serviçoque deseja; a própria extensão de onde se aplicam as regras de privacidade estabelecidas sãoquestionáveis, pelo fato de não se saber de início o que pode-se descobrir e, é digno de menção,que a nova informação gerada é injustamente de posse e conhecimento unilateral.

Algumas alternativas têm sido propostas na literatura, com a finalidade de extrair omelhor de Big Data sem abrir mão da privacidade dos usuários envolvidos, permitindo que atuemefetivamente como sensores. A seguir, discutem-se algumas dessas abordagens.

Uma alternativa à utilização rígida de minimização de dados que, como dito anterior-mente, que contraria a utilização de Big Data em gerar novas informações a partir de grandesmassas de dados, apesar de contribuir para provisão de privacidade, seria flexibilizar a minimiza-ção e o consenso, enfatizando transparência, acesso e precisão (Tene and Polonetsky, 2012). Istosignifica que as empresas abririam mão do que hoje é tratado como segredo industrial - a formacomo armazenam, manipulam, analisam os dados que possuem - e exporiam publicamente osdados que possuem, como e quando foram coletados e o propósito esclarecido para qual serãousados (campanhas de marketing, por exemplo); com isso, seria obtido uma maior confiança porparte dos usuários, que não exigiriam consenso recorrente devido à confiança nos procedimentosda empresa. Neste caso, não seria essencial que os dados fossem precisos, que refletissem ocenário atual; isso faria com que o grau de criticidade em caso de exposição fosse potencialmente


menor. Aliado a essas medidas, o acesso dos usuários aos dados seria garantido, permitindo amanutenção dos dados.

Um dos problemas dessa abordagem é que a forma como essa transparência deve serexpressa está condicionada ao público e a forma como esse público entende o serviço, à formacomo a empresa apresenta suas políticas de privacidade (já que em pesquisas como a apresentadaam (FutureSight, 2012), os usuários admitem a complexidade dos termos adotados nestesdocumentos e sua consequente recusa em lê-los) e à própria reputação da empresa.

Em (Tene and Polonetsky, 2012) e (Rubinstein, 2013) falam sobre featurization de Big

Data, no qual as pessoas determinam suas políticas, preferências e termos de compromisso. Estaabordagem caracterizaria um equilíbrio de expectativas nas relações entre provedor e consumidorde serviços, porém dificilmente cidadãos comuns tem conhecimento dos mecanismos legaisque o protegem (ou não) e de que forma isso pode ser formalizados para ter validade legal,resguardando-o de quaisquer futuros problemas com relação a sua privacidade.

Rubinstein (Rubinstein, 2013) ainda vai mais além da featurization: aposta em umarelação igualitária entre as empresas provedoras de serviços que consomem dados pessoais eos indivíduos consumidores desses serviços, na qual se “compartilha a riqueza”, o lucro, osbenefícios, obtidos pelo acesso e utilização dos dados.

Nesta abordagem, os usuários teriam acesso aos seus dados, disponíveis em um formatoportável (ou seja, facilmente transferível e reconhecido de um provedor de serviços para outro),de modo que pudessem utilizá-los a seu modo em aplicações de seu interesse. Além de acreditarque os usuários seriam capazes de especificar suas próprias regras de privacidades, afirma-seque novas oportunidades de negócio seriam criadas. Isso seria importante, já que tornaria asorganizações mais preparadas para compartilhar com as pessoas as riquezas que elas mesmasajudaram a criar com seus dados; adicionalmente, a portabilidade de dados assumiria importânciapara os indivíduos, muito possivelmente envolvendo mesmo àqueles mais alheios aos seusdireitos. Um exemplo desse tipo de ação é o projeto “Green Button", desenvolvido nos EstadosUnidos, nas qual os consumidores tem acesso às suas informações de consumo de energiadisponível para download, em formato padronizado e fácil de manipular computacionalmente(Tene and Polonetsky, 2012).

Tene e Polonetsky (Tene and Polonetsky, 2012) argumentam que esse nível de trans-parência e acesso aos dados suscitam sérias complexidades legais e de negócios. Em diversascircustâncias garantir acesso a zetabytes de dados, distribuídos por inúmeros servidores, não énada trivial. Ademais, para evitar um problema maior do que o que a proposta pretende resolver,este acesso iria requerer mecanismos aprimorados de autenticação e canais de comunicação maisseguros, impondo custos e inconveniências em ambas as partes. Os autores também afirmam que,enquanto se expande esse ecossitema de uso de dados pessoais, se constroem camadas-sobre-camadas sobre as estruturas centralizadas existentes, aumentando o risco de vazamento e acessonão autorizado aos dados.

Ainda sobre acesso e portabilidade de dados, Swire e Lagos (Swire and Lagos, 2013)


criticam que, da forma que os dados são gerenciados hoje, o acesso (ainda que burocrático)garantido pelos indivíduos é limitado por escopo - pelo próprio fato de uma empresa guardarsobre o indivíduo apenas dados que são úteis de alguma forma, de acordo com seu domínio - epor formato (cada empresa armazena os dados da forma que acha melhor). Quando se estabaleceportabilidade de dados, aliado ao direito de acesso, bastaria uma fraude de identidade e todos osdados pessoais, de uma vida toda, estariam expostos.

Um ponto de vista oposto é dado por Searls (Searls, 2012), que propõe um conceito quepotencializaria a ideia de portabilidade de dados: o signaling. Ao invés do fluxo atual de provisãode serviços, onde as organizações de domínios específicos coletam dados de seus usuários com opropósito de expandir sua fatia de mercado através de novos serviços, melhorar suas campanhaspublicitárias ou cativar (ainda que por vezes covardemente) mais seus consumidores, seriam osconsumidores que, em posse de seus dados, manifestariam a demanda por bens ou serviços nomercado, sem estar ligado a uma empresa específica. Os dados não iriam para o provedor deserviço; o serviço é que viria onde estão os dados.

Esta proposta parece ser promissora. A princípio as empresas teriam um pouco deresistência em abrir mão de um trunfo que até então era delas, mas uma vez compreendidoque dados de diferentes domínios permitem análises, predições e correlações mais sofisticadas,gerando informações mais ricas que quando isoladas, não levará muito tempo para que surjammodelos de negócio baseados nesse formato.

Depois de visitadas algumas das alternativas propostas na literatura, vê-se que o modelode utilização de dados pessoais requer uma profunda compreensão de diversos apectos envolvidos,a fim de satisfazer as diferentes partes envolvidas. Entretanto, todos esses problemas assumemproporções menores quando é dado aos usuários controle e opções de decisão. Afinal, problemasde privacidade ocorrem tanto quando os indivíduos estão absortos em relação às práticas e direitosno uso de informações pessoais, quanto quando estão desinteressados e não engajados. Quandoo envolvimento do usuário gera engajamento, estabelece-se um trade-off equilibrado e explícitoentre exposição e proposição de valor, propiciando a identificação de comportamentos impróprios,atuar de forma consciente e responsável, de forma a cumprir a proposta de privacidade. Afinalde contas privacidade é mais que segurança de dados: é transparência, consenso e escolha(Computer Security Division, 2013; Tene and Polonetsky, 2012; Forum, 2013).

Transladando a discussão para o foco desse projeto, o sentimento que emerge, além danecessidade de leis específicas, é a importância da educação, capacidade de consciência e escolhadas pessoas quanto ao uso geral de seus dados pessoais. Cidades são compostas de cidadãos esuas relações em diversos níveis, desenvolvidas diariamente. O fator crítico em qualquer cidadede sucesso é o seu povo e como eles interagem (Nam and Pardo, 2011). Um exemplo claro decomo a falta de conhecimento das pessoas invalidam o investimento em tecnologia é a CidadeDigital (CD) de Trikala, Grécia. Depois de 6 anos, mesmo com os gastos exorbitantes cominfraestrutura (para manutenção e gerenciamento, mais de e5 milhões) seus habitantes sequertinham conhecimento ou utilizavam os serviços digitais disponíveis (Anthopoulos and Fitsilis,


2010).Uma CI não pode ser baseada somente em tecnologia, já que uma vez que a mesma

torne-se obsoleta a inteligência se vai; há quem ouse dizer, inclusive, que CIs ideais já nasçamobsoletas (Greenfield, 2013). Sem que uma cidade seja considerada inteligente principalmentepor conta de seus cidadãos, sem o engajamento das pessoas na mudança de hábitos e que elascomecem a pensar e atuar de forma inteligente, não é possível criar uma CI. Sendo assim,uma vez reconhecida a importância das pessoas para desenvolvimento urbano, identificadosos problemas decorrentes do uso da massa de dados que elas geram, de forma consciente ounão, e constatado a necessidade da utilização desses para melhor gestão de serviços urbanos,apresenta-se a necessidade, e por que não dizer, oportunidade, da criação de um meio adequadode provisão de privacidade, específico para CI, nas quais as pessoas - os cidadãos - sintam-seengajados, no controle, providos de informação suficiente para decisões de exposição de seusdados, em qualquer extensão e, mais que isso, assumam sua posição de agentes de mudança noprocesso de smartening de sua cidade.

Com o propósito de entender como a gestão de privacidade vem sendo feita nos últimosanos, o capítulo a seguir apresenta um estudo sobre diferentes mecanismos de privacidadepara diversos domínios que compõe CIs (Smart Grids, Smart Environment, Smart Space, etc)encontrados na literatura, com o intuito de se entender, identificar necessidades e requisitosadequados, rumo à proposta de um framework de privacidade específico para CIs.

515151

4Mecanismos de Privacidade em Smart X

I hear, I know.

I see, I remember.

I do, I understand.

—CONFUCIUS

Ambientes do futuro são vistos como ambientes inteligentes, conectados, provendoacesso a recursos, dispositivos e serviços disponíveis (Hernández-Muñoz et al., 2011). Estetipo de ambiente pode ser implementado através de técnicas de computação ubíqua; qualquerambiente, munido de utilização massiva de sensoriamento distribuído, permite a construção deuma visão sistêmica da cidade (e.g. perspectiva sistema de sistemas) gerando informações parafomentar o processo de smartening.

O X do título, refere-se à qualquer ambiente ou domínio; por smart (inteligente emportuguês), em Smart X, entende-se a habilidade de sintetizar dados vindos de alguma fonte,transformá-lo em informação útil e produzir respostas a serem aplicadas de volta em X, visandomelhorar serviços e processos.

A ideia é que qualquer entidade imersa nestes ambientes ou domínio sejam capazes desentir seu entorno, tornando todo e qualquer aspecto gerenciável dentro dele - quer sejam dados,entidades ou recursos - permitindo aumentando a qualidade dos serviços disponíveis, através deinformações geradas por análises computacionais (Hermann et al., 2009; Bagües et al., 2007).

Depois das revelações recentes feitas por Edward Snowden sobre a espionagem dogoverno americano sobre outras nações, o debate sobre segurança e privacidade na Internetganhou foco mundialmente (Bird, 2013). Em um contexto similar, o grande volume de dadosprovenientes de uma diversidade de ambientes inteligentes também levantam questionamentossobre privacidade (Balakrishna, 2012). Usualmente segurança de dados está associada a disposi-tivos conectados, bem como suas interfaces (Simo Fhom et al., 2010; Maisonnasse et al., 2006),entretanto, quando pessoas são envolvidas, o principal questionamento gira em torno de comoambientes ubíquos, com sua quantidade de informações pessoais (como dados pessoais, dados

52

médicos, dados financeiros, etc.) potencialmente vasta, impacta na capacidade de manutençãoda privacidade.

Métodos tradicionais de exposição segura de dados pessoais não são suficientementeefetivos. Por exemplo, políticas de privacidade contradizem a forma como os usuários normal-mente mantém seus dados privados, exigindo a especificação de preferências antecipadamente,de forma abstrata (Bünnig, 2009); exposição baseada somente em interação requer muita atençãodo usuário, anulando a ubiquidade inerente aos ambientes inteligentes; contratos de licençade usuário final, ou End User License Agreements(EULAs), como são conhecidos, geralmenteencontrados logo que se instala ou se faz o primeiro acesso em uma aplicação ou serviço, des-crevem quem detém o direito sobre os dados, como [supostamente] serão usados, direitos dousuário e do provedor do serviço/aplicação, e assim por diante. Na grande parte das vezes essescontratos são extensos e carregados de termos complexos, que repelem a atenção e compreensãodo usuário. Estes métodos tentam adquirir consenso antecipado por parte do usuário, tirando seucontrole em ações futuras, optando por manter oculto o ciclo de vida (armazenamento, utilização,edição, exclusão) do dado coletado.

Neste sentido, realizou-se uma revisão sobre os diversos mecanismos de privacidadepropostos para diferentes tipos de ambientes inteligentes. O objetivo da revisão foi entender aspreocupações existentes quando se lida com privacidade nesses contextos e, como resultado,extraíram-se os principais requisitos que orientaram as propostas e estabelecer um conjuntobásico de características que um framework de privacidade deve satisfazer para ser efetivo emtais domínios. Finalmente, o propósito final é identificar um conjunto de requisitos adequados aum domínio mais amplo, como uma Cidade Inteligente, que compreende domínios menores -como casas, escritórios, espaços públicos, carros, etc) - que servirão de guia no desenlvolvimentode um framework genérico de privacidade para CIs, responsável por auxiliar os cidadãos aprotegerem dados pessoais.

Nas sessões que se seguem, realiza-se uma revisão dos mecanismos de privacidadepropostos para diferentes domínios inteligentes, destacando e discutindo os principais requi-sitos que abordam e, por fim, fala-se sobre como a revisão contribuiu no direcionamento dodesenvolvimento do framework de privacidade.

4.1. REVISÃO SISTEMÁTICA 53

4.1 Revisão Sistemática

De acordo com (Keele, 2007), uma revisão sistemática é um meio de identificar, avaliar einterpretar todo material relevante para um questionamento, tópico, ou fenômeno de interesse emuma pesquisa, sumarizando evidências sobre uma tecnologia ou assunto específico, identificandoproblemas em aberto na área em estudo e fornecendo subsídios para o posicionamento de novaspesquisas.

A revisão realizada no contexto deste trabalho, buscou levantar mecanismos de privaci-dade aplicados a ambientes inteligentes, na busca de requisitos gerais satisfeitos nas propostasencontradas, rumo a uma convergência para proposta de um mecanismo de privacidade específicopara um contexto maior: uma CI. O objetivo era reunir quaisquer trabalhos que tratassem deprivacidade para algum tipo de ambiente explicitamente declarado como inteligente.

4.1.1 Metodologia

Nesta subseção será descrita a estratégia de busca adotada e o processo de refinamentodos resultados. Os passos foram guiados pela recomendações disponíveis em (Keele, 2007).Para orientar os resultados esperados pela revisão, as seguintes questões de pesquisa foramestabelecidas:

Questão 1: Quais abordagens de gestão de privacidade já foram propostos (academia/indústria)dentro do contexto de smart X?

Questão 2: De que forma as arquiteturas para cidades inteligentes já existentes implementamgestão de privacidade de dados dos cidadãos?

A primeira pergunta visava recuperar trabalhos que reportem o desenvolvimento deframeworks ou arquiteturas focadas na provisão de privacidade em algum contexto explicitamentedeclarado como inteligente; como o foco final do presente trabalho é desenvolver um framework

de privacidade para CI, a segunda pergunta visa identificar trabalhos que tenham denvolvido ouproposto uma solução no mesmo sentido.

4.1.1.1 Processo de Busca

O processo de busca seguiu a mesma metodologia empregada em (Keele, 2007), (Chenet al., 2009) e (Khurum and Gorschek, 2009).

Para realização das busca, foram elencadas as principais bibliotecas digitais de literaturacientífica - IEEE Xplore, ACM Digital Library, CiteSeerX, ScienceDirect, SpringerLink e Scopus

- e, na busca de soluções propostas na índustria, utilizou-se o repositório de patentes do World

Intellectual Property Organization (WIPO). Devido à variação na sintaxe adotada pelos motores


de busca (Chen et al., 2009), os termos de busca utilizados tiveram que ser adaptados, mantendo-se equivalentes seu valor lógico e semântico. Os termos de busca utilizados para cada uma dasbibliotecas pode ser encontrados no Apêndice A.

A Tabela 4.1 mostra a quantidade de trabalhos encontrados para cada uma das fontes dedados utilizadas.

Tabela 4.1: Quantidade de trabalhos retornados por biblioteca digital

Fonte de dados ] Q1 ] Q2ACM 379 21CITESEERX 139 0IEEE 686 81ScienceDirect 59 0Scopus 822 109SpringerLink 57 52WIPO (Patentes) 32 41

A qualidade dos motores de busca pode influenciar no número de trabalhos identificadosprimariamente, conforme discutido em (Chen et al., 2009). Sendo assim, caso algum outro termotenha sido utilizado que não os especificados, alguns trabalhos podem não ter sido incluídos.

4.1.1.2 Processo de Seleção

Nesta revisão foram selecionadas apenas trabalhos que mencionavam tratar de privaci-dade para algum tipo de ambiente explicitamente declarado inteligente. Foram envolvidos noprocesso 5 pesquisadores, sendo 2 PhDs, 1 doutorando, 1 MSc e 1 mestrando.

A Exclusão por Título, consistiu na identificação de trabalhos cujo título sugeria adescrição de um framework/arquitetura/modelo de gerenciamento de privacidade, aplicado aalgum contexto inteligente, eventualmente específico para cidades inteligentes; no filtro Exclusãopor Duplicação, foram removidos da lista os trabalhos que apareceram em mais de um motorde busca; na Exclusão por Resumo, foram ignorados os trabalhos que, apesar do título adequarao escopo da revisão, a descrição do trabalho não condizia com as expectativas levantadas pelotítulo; para os trabalhos que o resumo gerou dúvida sobre a adequação, o filtro Adequação aoContexto da Pesquisa foi utilizado, através da leitura da introdução, core da proposta e conclusão.Nos casos em que mais de um trabalho reportava a mesma proposta, manteve-se o mais completoentre eles.

Ao final, puderam ser acessados 63 trabalhos acadêmicos. Não foram encontradaspatentes de acordo com o interesse da revisão. Isso provavelmente indica a necessidade departicipação/interesse da indústria no assunto.

O resultado da aplicação de cada filtro está representado na Tabela 4.2.Na seção a seguir serão estudados diferentes soluções de gerenciamento de privacidade

para contextos inteligentes encontradas na revisão, destacando os principais requisitos que visamatender.


Tabela 4.2: Filtros aplicados no processo de revisão

Filtro/Questão Q1 Q2Relevantes 2174 304Exclusão por Título 328 37Exclusão por Duplicação 238 34Exclusão por Resumo 77 19Adequação ao contexto da pesquisa 65 19Acessados 45 18

4.2. MECANISMOS DE PRIVACIDADE PROPOSTOS PARA SMART X 56

4.2 Mecanismos de privacidade propostos para Smart X

Nesta seção, serão apresentadas as abordagens encontradas na literatura, ordenadasprimeiramente por domínio (Smart Grids, Smart Buildings e Homes, Smart Environments, Smart

Spaces, Smart Health e uma categoria genérica para demais domínios e abordagens) e, dentro decada domínio, ordenadas de acordo com sua data de publicação.

4.2.1 Smart Grids (SG)

Um Smart Grid é entendido como “uma rede elétrica modernizada que usa TICs para

atuar sobre/reunir informações que representam o comportamento dos fornecedores e consumi-

dores, a fim de melhorar a eficiência, confiabilidade, economia e sustentabilidade da produção e

distribuição de energia elétrica”(Pekala, 1991). Nas linhas que se seguem serão apresentadasabordagens encontradas na literatura para gerenciamento de privacidade neste domínio.

Em (Salehie et al., 2012), Salehi et al. apresenta uma abordagem baseada em segurançaadaptativa, seguindo as recomendações do NIST (of Standarts and Technology, 2010). Devidoà natureza altamente dinâmica das Smart grids, segurança adaptativa permite que as regras desegurança sejam modificadas juntamente com as entidades envolvidas, bem como atuar proativae reativamente.

Os autores utilizam um gerenciador de adaptação Adaptation Manager(AM), que mo-nitora e analisa mudanças contextuais na rede e no ambiente em tempo de execução, a fim dedetectar se algum requisito de privacidade ou segurança não está sendo atendido. Logo queuma ameaça é detectada, o AM decide a ação a ser tomada. O processo de tomada de decisãoadaptativo leva em consideração incertezas e lida com múltiplos objetivos tais como adaptação arisco (se uma das variáveis que caracterizam um risco sofre alteração, as regras de segurançatambém devem ser alteradas de acordo), mitigação de ameaças à privacidade (considerando asensibilidade do dado ameaçado, histórico de violações anteriores, etc.) e tomada de decisãomulti-objetivos, na qual se recorre a técnicas mais sofisticadas, como aprendizagem de máquina,em caso de conflitos.

Salehie et al. ainda aponta que o envolvimento humano exerce um papel muito importanteno processo de adaptação, através da mudança de regras de acordo com as preferências pessoaisquando algum problema de privacidade é detectado: ao invés de ser notificado sobre que açãofoi tomada, o indivíduo seria avisado sobre a ameaça, a fim de configurar o comportamentoadaptativo.

Em (Simo Fhom et al., 2010), Fhom et al. descreve um agente gerenciador de privacidadeaplicado ao contexto de Smart grids. Dois cenários são considerados, a saber, medição dinâmicae tarifação para recursos energéticos distribuídos. Tais cenários seriam implementados emum ambiente totalmente automatizado nas futuras redes de energia, evitando que informaçõesresiduais revelassem padrões de uso e detalhes sobre rotinas diárias. Já que a entrada para


esses processos são informações pessoais ou outros tipos de dados diretamente relacionados aoshábitos de uso e atividades em residências, escritório, ou dados de negócio críticos, surgem apreocupação com o mau uso e a divulgação não controlada de tais dados.

A proposta define vários componentes projetados para prover funções e protocolos deprivacidade, possibilitando que o usuário tenha diferentes níveis de controle nos dados coletadose informações derivadas, expressando suas preferências com relação como e quem pode teracesso a essas informações. A proposta é sustentada basicamento por três requisitos chaves:direito do consumidor, onde o consumidor deve ser notificado sobre o tipo de informação epropósito para o qual seus dados estão sendo coletados; os dados coletados não podem serutilizados sem que sejam considerados o consenso e as preferências do consumidor, além disso,deve ser possível verificar se tais preferências não foram violadas; proteção dos dados, quecompreende confidencialidade e integridade das informações durante seu ciclo de vida (coleta,armazenamento, transporte e processamento), bem como um controle de acesso que reforçeo cumprimento das preferências do usuário e das demais entidades envovidas no processo e;minimização de dados, onde os dados pessoais devem ser coletados ou processados somentequando necessário, para atender a fins preestabelecidos.

Assumindo a possibilidade de armazenamento de informações a longo prazo, um meca-nismo de Computação Confiável (Mitchell et al., 2005) e virtualização é utilizado, assegurandocomunicação segura com entidades externas, além do isolamento do ambiente de execução ecumprimento das políticas estabelecidas; tanto o usuário pode especificar suas condições deuso e exposição de dados (como já dito anteiormente), quanto o serviço pode determinar osdados necessários e condições para sua execução. Antes que o dado seja efetivamente disponibi-lizado para uso, realiza-se uma negociação para alinhamento dos interesses representados naspreferências de ambas as partes.

Em (Bohli et al., 2010), os autores apontam a adoção de medidores inteligentes deeletricidade como uma motivação para que os consumidores economizem energia, apresentandoseu consumo em tempo real e enfatizam a decorrente possibilidade de precificação dinâmica deacordo com a relação oferta-demanda. Um problema evidente nesta abordagem é que, usandoestas informações, a distribuidora poderia inferir hábitos do cliente, uma vez que o perfil deconsumo difere entre dispositivos. Para resolver este problema, um método de agregação dedados é usado, de forma que o provedor tem acesso apenas ao consumo total de energia elétricade seus clientes, ou grupos específicos de consumidores, bem como a soma do consumo deenergia elétrica dos consumidores durante o período de faturamento.

O trabalho propõe um modelo de privacidade para mensurar o grau de privacidade queuma aplicação de medição de energia elétrica por prover, através de um jogo criptográfico naqual o adversário deve escolher dois cenários que, suportamente, deveriam ser indistinguíveispara a aplicação. O desafiante vai então simular um dos cenários com o protocolo de mediçãointeligente utilizado, “coletar” os dados trafegados e transcrever o resultado para o adversário,que vencerá o jogo se puder determinar estatísticamente qual dos cenários foi simulado.


Gong & Li (Gong and Li, 2011) afirmam que a adoção de energias renováveis, ambi-entalmente corretas, torna os sistemas de energia mais dinâmicos, o que implica em relatóriosmais frequentes dos medidores inteligentes, gerados em intervalos de tempo reduzidos paraalguns segundos ou menos, potencialmente expondo os hábitos do usuário. Para evitar que apresença do usuário seja detectada através da intercetação desse reports, os autores propuseramuma abordagem para disfarce dos dados, que reproduz um padrão de transmissão para emular apresença dos moradores, mesmo quando eles não se encontram na residência.

No mesmo contexto, Marmol et al. (Marmol et al., 2012) também vêem reports frequen-tes como uma ameaça à privacidade, apesar de reconhecer que a análise dos padrões de consumode energia podem contribuir para aprimorar as previsões do uso de energia em um futuro pró-ximo, permitindo ações apropriadas por parte das concessionárias. O trabalho propõe uma coletaagregada de informações de consumo a nível de regiões geográficas, expondo apenas os dadostotalizadores, sem expor a medição individual, usando um procedimento chamado additively

homomorphic encryption. Para o envio das informações, um canal seguro de comunicação éutilizado, utilizando um esquema de credenciais anônimas ou credenciais a nível de grupo, paraevitar a identificação individual.

A medição inteligente é também o tema abordado em (Sankar et al., 2013). O trabalhotem como objetivo determinar o consumo através de um Modelo Oculto de Markov, definidapelo estado dos eletrodomésticos subjacentes. Os autores defendem um modelo de privacidadeabstrato, assumindo que “uma solução tecnológica específica pode não fornecer a mesma

garantia de privacidade no futuro”, além de que, o que hoje tomamos simplesmente como dadosde medição, em um futuro não tão distante, podem ser usados para inferir informações pessoaisde maneiras desconhecidas no presente.

O framework teórico proposto permite quantificar o trade-off entre a utilidade vs. priva-cidade dos dados mensurados. O filtro battery-based, apresentado em (Kalogridis et al., 2010), éutilizado para disfarçar os dados coletados, ocultando a identificação de que aparelhos estariamligados. Um modelo de vazamento de informações é usado para assegurar o mínimo de infor-mação possível sobre uma medição, preservando a utilidade dos dados. Assim, característicasobservadas que sugerissem atividades humanas seriam eliminadas, mantendo apenas informaçõesúteis sobre o consumo de energia.

4.2.2 Smart Buildings e Homes (SBH)

Através do controle e integração dos diferentes eletrodomésticos de uma residência ouprédio, é possível criar um ambiente agradável, respondendo a interpéries e preferências dosmoradores, estabelecendo o que podemos chamar de casas inteligentes (em inglês, Smart homes)(Li et al., 2008).

Privacidade de informações de localização em casas inteligentes é o assunto tratado em(Boyer et al., 2006), onde é apresentado um “modelo, arquitetura e estudo de caso de distribuição


de dados de localização a partir da infraestrutura de um sistema de automação predial para os

usuários, de uma forma que aborde sensatamente questões de privacidade”. O trabalho propõeum Sistema de Informação de Localização, no qual se permite que os usuários e administradoresde controlem dados sobre as pessoas e objetos monitorados, utilizando informações geradas apartir de um sistema de gerência predial, ou Building Automated System (BAS), em inglês. Ocaso de estudo baseia-se no Siebel Center BAS, Urbana, Illinois, no qual se monitora o uso deleitores de cartões de acesso aos escritórios espalhados pelo edifício. Esta informação é agregadacom dados coletados a partir de sensores de presença e estado das portas, permitindo aos gestoresmelhorar as funções de manutenção e responder a incidentes de segurança.

Uma infraestrutura sensível de privacidade para Smart Home é proposta em (Bagüeset al., 2007). Visto que a provisão de serviços sensíveis a contexto depende de sensores edispositivos de rastreamento para permitir personalização de serviços, a privacidade torna-seuma grande preocupação. O trabalho descreve o Sentry@Home, um framework centrado nousuário, “perfeitamente incorporados à infraestrutura de software da Smart home, o que permite

que a própria casa atue como um proxy de privacidade para um indivíduo monitorado”.O framework evita a necessidade constante de intervenção do usuário disponibilizado

meios para que automatize seu consenso, baseado em preferências de privacidade adaptáveise flexíveis, dando controle explícito sobre que dado será exposto, quando, como, para quem ecom quais condições, permitindo também o uso do princípio da Negação Plausível, que garantea recusa de exposição de alguma informação autorizada anteriormente e o uso de transformaçõese white lies para ocultar ou disfarçar o contexto ou a identidade do usuário.

O framework evita a interação constante do usuário dando meios de automação deconsenso baseado em preferências de privacidade flexíveis e adaptáveis e dá controle explícitosobre quais dados estão expostos, como, para quem e com que restrições. Adicionalmente, ousuário pode incluir ruídos ou ambiguidade nas informações, dificultando descoberta de padrões,associação ao proprietário ou mesmo comprometendo sua utilidade.

Em (Mouratidis and Giorgini, 2007), o projeto System Engineering for Security and

Dependability(SERENITY) assesta questões de privacidade em smart home empregando padrõesde segurança, oferecendo aos usuários inexperientes o pacote de padrões de segurança e depen-dabilidade SERENITY. Este pacote incluiu soluções de segurança validado por profissionaisexperientes e implementações testadas e de facilmente implantação.

A solução foi implementada utilizando Arquitetura Orientada a Serviços. Para garantir aconfidencialidade, foi implementado um mecanismo de autorização; recursos de logging foramimplementadas, facilitando auditorias em caso de violação de privacidade; ambos os mecanismosrepresentam padrões de segurança. Um esquema de integração também é fornecido, responsávelpor garantir a confidencialidade dos recursos distribuídos, implementado como uma combinaçãodos padrões de segurança mencionados anteriormente.

O trabalho descrito em (Moncrieff et al., 2008) apresenta uma forma para se encapsularuma política de gestão de privacidade dentro de métodos usados para controlar o acesso aos


dados coletados. O framework proposto implementa privacidade dentro do ambiente de umacasa inteligente, fornecendo uma interface entre a implementação de privacidade e o residente,determinando dinamicamente os dados que um observador pode acessar, dado seu contexto. Aspreferências do usuário definem o nível de privacidade, minimizando a intrusão no cotidiano dosmoradores, enquanto as aplicações têm informação suficiente para desempenhar as suas funçõesde forma satisfatória.

Inicialmente, é necessário coletar informações contextuais (quem, onde, como, o que, porque) sobre o ambiente. Depois disso, o contexto deve ser interpretado e as medidas necessáriadevem ser estabelecidas. Se nenhuma medida for necessária, os dados são enviados paraa aplicação que vai consumí-los; caso contrário, o filtro de privacidade determinará o níveladequado de privacidade usando uma abordagem baseada em regras, incorporando as preferênciaspredefinidas. Em seguida, o filtro de dados vai usar alguma técnicas para ocultar ou obscureceros dados, a fim de implementar o nível de acesso aos dados apropriado; finalmente, os indivíduosque estão sendo monitorados serão capazes de ajustar o filtro de privacidade (se necessário)baseado nas informações disponibilizadas pelo componente de feedback e controle.

4.2.3 Smart Environment (SE)

Um Smart Environment pode ser considerado como uma materialização do que foidito por Mark Weiser em (Weiser et al., 1999) - um mundo físico amplamente observado porsensores, atuadores e manipulados por outros componentes de TIC, perfeitamente incorporadosnos objetos do nosso cotidiano e conectado através de uma rede ininterrupta. Os parágrafosseguintes descrevem abordagens de privacidade adequadas para tal contexto.

Em (Van Heerde et al., 2006), Heerde et al. aponta que informação assimétrica é o cernedo problema de privacidade em computação ubíqua; quando isso acontece, há uma assimetriaentre as informações em posse de provedores e consumidores, pois diferentes tipos de sensorespodem ser espalhados em um determinado ambiente, capturando dados sem que as pessoastenham consciência e/ou consintam.

O trabalho afirma que, a inteligência de uma aplicação é proporcional à quantidade equalidade dos dados que podem usar; quanto maior e mais preciso os dados coletados, mais aaplicação pode aprender o usuário sem solicitar sua intervenção. Com isso em mente, os autoresafirmam que os mecanismos tradicionais de privacidade - tais como políticas de privacidade eanonimização - não garante a proteção adequada, já que suas regras não se adaptam dinamica-mente de acordo com mudança no ambiente, nem mesmo estão aptas a cobrir aplicações queusam dados contextulizados para inferência (os chamados propósitos não atômicos, que não sepodem dizer estar cumpridos ou não).

Políticas de Ciclo de Vida é a abordagem escolhida pelos autores, em que os atributosarmazenados degradam progressivamente de acordo com a política definida, quando condiçõesespecíficas forem satisfeitas (estas políticas são especificados pelo usuário). Os eventos são


descritos por atributos, usados para representá-los graficamente em um espaço n-dimensional,onde cada dimensão representa a precisão de um atributo da tupla de dados original. O estadofinal de um evento desencadeia a exclusão do atributo ou resulta em um atributo totalmentedegradado (sem precisão alguma).

Smart environments também são o foco na arquitetura proposta em (Lioudakis et al.,2007). Um middleware distribuído define um domínio seguro para privacidade de informaçõessensíveis; sempre que alguma informação chega nele, um mecanismo de direitos de acessobaseados em políticas define uma barreira para o consumo de informações em nome dos serviçose mecanismos de controle, atuando como um proxy para o fluxo de dados pessoais.

Paralelamente, como políticas predeterminadas não permitem que o usuário possa lidarcom informações complexas em situações não previstas, (Bünnig, 2009) propõe um sistema deexposição ad-hoc1 para uma gestão de privacidade mais dinâmica e intuitivo.

Estudou-se o comportamento de exposição de infomações pessoais dos usuários a fimde se compreender como eles correlacionam a situação à informação exposta; especificamente,como os dados relevantes para exposição são determinados e em que nível de abstração, com querigor um sistema pode reproduzir o comportamento humano em tais situações e como um usuáriointeragiria com um sistema com tais capacidades. Um experimento foi desenvolvido para avaliarcomo os usuários lidavam com o fluxo de informações pessoais em serviços típicos encontradosem smart environment. Estes estudos deram o fundamento necessário para o desenvolvimentodo sistema de exposição ad-hoc acima mencionado.

Uma abordagem mais simplista é mostrada em (Lupiana et al., 2010). Indivíduos foramassociados aos seus dispositivos móveis, com Bluetooth ou tag Radio-Frequency IDentification

(RFID); locais identificáveis foram associads com os identificadores exclusivos de seus sensoresembutidos, neste caso, antenas Bluetooth e leitores RFID. Quando um sensor detectava umdispositivo, significava que um determinado usuário estava presente em um local específico,permitindo uma aplicação dar o apoio adequado, quando necessário. Esta abordagem reduz aquantidade de informações pessoais a serem recolhidos, de acordo com os autores, aumentandoa chance de manter a privacidade do usuário, bem como a aceitabilidade de smart environments.

Território pessoal refere-se à um espaço pessoal demarcado por limites físicos, comoparedes e portas de uma sala; com o domínio da computação ubíqua e smart environments,territórios pessoais são elevados a uma extensão virtual àqueles limites, o que significa que nãosomente entidades com acesso físico podem interferir neles, mas também a todos/tudo que possuiacesso virtual a ele. Neste contexto (Könings et al., 2010) propõe um modelo para privacidadeterritorial centrado no usuário, que engloba observadores físicos e virtuais. O modelo permitea definição de limites, incluindo o território físico e virtual, bem como que entidades estãoautorizados a interferir no território privado e como. Os canais de comunicação são estabelecidasentre os observadores de interesse, gerando vários territórios virtuais sobre o mesmo território

1Formado, arranjado ou feito para uma finalidade específica. Fonte: http://bit.ly/1fIZ2mS, acessado em05/05/2014.


físico.Heinroth & Minker (Heinroth and Minker, 2011) afirmam que a natureza autônoma dos

smart enviroments, a acessibilidade a grandes quantidades de informações pessoais e sua presençatransparente em nossos ambientes habituais, levantam várias questões de privacidade para seusresidentes. O trabalho descreve o mecanismo de provisão de privacidade - ATRACO - baseadana correspondência entre políticas e controle de acesso. Alguns aspectos foram consideradosrequisitos básicos a serem atendidos:

� Fidelidade às preferências do usuário;

� Confiança e Contexto para definição da privacidade a ser aplicada quando dadossensíveis forem requisitads ou o usuário solicitar redução nas interveções e monitora-mento;

� consciência dos usuários sobre o uso de seus dados.

As preferências do usuário são representadas como políticas de privacidade, que descre-vem em que condições e contexto as informações pessoais podem ser tratados, ou a interaçãopode ser iniciada, durante uma atividade qualquer do usuário. Quando um evento que ameaça aprivacidade ocorre, o gerenciador do ATRACO recupera as políticas relacionadas e informaçõescontextuais para processar e fornecer os resultados para o controlador correspondente, que iráutilizar os resultados para prover privacidade da melhor forma possível. Se algum conflito ocorredurante o processo, o usuário pode ser solicitado para estabelecer uma resolução, como porexemplo, modificar suas políticas ou adicionar alguma exceção à política existente.

4.2.4 Smart Spaces (SS)

De acordo com a literatura, Smart Spaces - a unidade física mínima capaz de conterusuários - são espaços inteligentes que consistem de dispositivos heterogêneos (sensores, compu-tadores, dispositivos dos usuários, etc.) capazes de cooperar de forma dinâmica e permitir aosusuários interagir e prover serviços em seu domínio (Suomalainen and Hyttinen, 2011; Cho et al.,2004). A seguir, serão tratados os mecanismos de gestão de privacidade encontrados, aplicadas aeste domínio.

Em (Cho et al., 2004), os autores afirma que, para minimizar ou poupar interações com ousuário em espaços inteligentes, os serviços são comumente invisíveis para os usuários, o queaumenta o risco de violação de privacidade.

Para prover estes serviços, geralmente é necessário coletar cada vez mais dados dousuário, nestes casos, é necessário que se assuma o papel de sistema de vigilância para evitarque os dados pessoas sejam expostas. Neste contexto, os autores apresentam um mecanismo deproteção da localização do usuário em Smart Spaces.


Quando os atributos de identificação e preferências do usuário se enquadram na categoriade dados pessoais, um Espaço de Proteção de Privacidade é estabelecido para prevenir queinformações privadas sejam expostas. Sempre que o espaço identificar a presença do usuário, ummecanismo não intrusivo de autenticação é iniciado, removendo ou minizando a intervenção dousuário; uma vez autenticado, o usuário tem permissão para consumir vários serviços, interagindocom o espaço através de comunicação direta ou indireta (quando o dispositivo do usuário secomunica com o espaço em seu nome).

O trabalho trata especificamente de dados relativos à localização. A fim de minimizar aintrusão nas atividades do usuário e prover serviços transparentes e proativos, o próprio espaçodeve coletar informações sobre a localização do usuário, o que pode incorrer em violação deprivacidade devido ao mau uso ou abuso. Para resolver este problema, o usuário pode gerenciarsuas informações de localização e especificar suas regras de exposição através de políticas.

O trabalho apresentado em (Maisonnasse et al., 2006) propõe uma abordagem perceptualbaseada em interações entre humanos e objetos, tratando do usuário e seus relacionamentos damelhor forma para garantia de privacidade. O trabalho quantifica os relacionamentos especifi-cando quem presta atenção em quem/quê, assumindo que o foco de um indivíduo seleciona queobjetos estarão em sua mente; as relações de atenção (ou foco) homem-objeto são quantificadasatravés de um número que representa a força dessa ligação.

O framework pode delimitar privacidade estabelecendo quais objetos são comuns e quaissão específicos entre diferentes usuários, de forma que a delimitação de privacidade possa serdefinida computacionalmente. Um modelo de atenção, baseado em (Sperber et al., 1986), foiproposto como uma adaptação do Modelo Gravitacional, especificamente a 1ª Lei da GravitaçãoUniversal - formulada por Isaac Newton no início do Século XVII - para simular a atração daatenção de um indivíduo para uma pessoa ou objeto.

A atenção é calculada como uma combinação linear de fatores internos e externos. Ofatores internos são determinados pelo objetivo ou tarefa atual do indivíduo; os fatores externossão determinados pela atração da atenção vinda de outras pessoas, objetos e/ou artefatos, quecompartilham o mesmo ambiente. Cada pessoa, ou objeto, tem uma massa que permite calcularo vetor de atração de cada pessoa em direção a outras, bem como objetos próximos, usandoo modelo gravitacional. Quando a atenção de alguém é vista como focada em algum recursopreviamente configurado como privado, uma ação predefinida é disparada para evitar violaçãode privacidade.

Em (Liampotis et al., 2009) é apresentado um framework de privacidade para o auto-aperfeiçoamento de espaços inteligentes pessoais - do inglês Personal Smart Spaces (PSSs). PSSssão um conjunto de serviços específicos, controlados ou administrados por um único usuário,disponibilizados dentro de um espaço dinâmico de dispositivos conectados. Esses serviçoscompõe um ambiente ubíquo, no qual os dispositivos são colocados, coletando dados dosusuários de forma transparente, estabelecendo seu perfil sem avisá-lo ou obter seu consentimento.O risco de exposição de dados em tais contextos é muito alto.


O trabalho lida especificamente com identidade digital, i.e., conjunto de atributos deutilidade para algum serviço. Logo que o interesse de consumo de um serviço é manifestado pelousuário, uma negociação entre os requisitos do serviço e as preferências do usuário é executada,estabelecendo um estado de compatibilidade entre o PPS e o provedor do serviço. Depois dissoa identidade necessária é recuperada (ou gerada, caso não tenha sido encontrado uma que estejaadequada aos requisitos acordados com o Provedor de Serviço (PS)) e a provisão do serviçopode ser iniciada.

O framework proposto foi dividido da seguinte forma:

� O Gerenciador de Identidades gerencia as múltiplas identidades digitais do usuário eseleciona a identidade aplicável para cada transação (uso de algum serviço);

� O Gerenciador de Privacidade gerencia políticas e preferências, avalia preferênciase gera políticas a serem usada no processo de negociação de privacidade. Se algumamodificação é identificada durante a provisão do serviço, este módulo dispara umaavaliação das preferências de privacidade, que pode levar a uma nova negociação depolíticas ou a requisição de uma nova identidade;

� O Gerenciador de Confiança é responsável por estabelecer o conceito de confiançadentro do framework, lidando com [re]avaliação de confiança entre pares de PSSs,com base no histórico de interação e, por fim, inferir o nível de confiança quandonenhuma relação fo estabelecida anteriormente.

Modelos de serviço contemporâneos prometem serviços personalizados para todos osusuários, a qualquer hora, em qualquer lugar. Para que um serviço seja satisfatoriamentepersonalizado, os provedores de serviço precisam reunir informações suficientes sobre o usuário,a fim de prover uma experiência mais sofisticada e uma informação de maior valor agregado.Tamanha quantidade de informação levanta sérias preocupaçoes entre consumidores de serviços.

Considerando tal cenários, Oyomno et al. (Oyomno et al., 2011) afirma que “a preserva-

ção da privacidade por diversos PSs produz inúmeras soluções heterogêneas e incompatíveis,

específicas para serviços e aplicações”. Para resolver este problema, os autores propões umsistema de aplicação de políticas de privacidade para serviços ubíquos, capaz de alterar dinamica-mente o uso das políticas e as respectivas preferências do usuário, com o objetivo de padronizara representação e negociação da troca de informações pessoais entre os consumidores e provedo-res de serviços em espaços inteligentes. Consumidores de serviço podem definir políticas deexposição de dados e determinar quais informações pessoais podem ser compartilhados comos provedores de serviço. O tratamento das informações pessoais, espcificado nas políticas deprivacidade, é supervisionado por uma autoridade escolhida para este fim.

Um conceito interessante apresentado neste trabalho é o nível da invasão de privacidade,calculado levando-se em consideração a sensibilidade das informações pessoais solicitadas e aforma como serão tratadas.


4.2.5 Smart Health (SH)

Smart Health é visto na literatura como uma solução para facilitar o acompanhamentomédico de indivíduos cuja condição requer cuidados constantes, através de monitoramento ecuidados médicos em domicílio (Townsend et al., 2011). Nos parágrafos que se seguem, serãovistas soluções propostas para gerenciamento de privacidade neste domínio.

Em (Busnel et al., 2008) é descrita uma assistência de saúde para residências, com focoem atender uma população crescente de idosos, suscetíveis a problemas de saúde, que podemlevar a perda de autonomia e maior fragilidade, com consequente redução da qualidade de vida.

De acordo com os autores, desenvolvedores de aplicação para estes ambientes geralmentenão são experts em segurança, sendo assim, o trabalho propõe a utilização de padrões desegurança, que eles disponibilizam através de Application Programming Interfaces (APIs), parafornecer as soluções necessárias para aplicações desenvolvidas para tal domínio. Um padrãode segurança descreve um problema de segurança particularmente recorrente, que surge emcontextos específicos, apresentando uma solução genérica comprovada.

O uso de TICs na área da saúde tem permitido que pessoas debilitadas, especialmenteidosos, possam ser assistidas a domicílio. Com o uso de sensores, pode-se monitorar desde o am-biente doméstico até os sinais vitais do paciente, estabelecendo um perfil médico extremamentepreciso e atualizado. O problema é que a geração desse tipo de dados oferece oportunidades deviolação de segurança e privacidade, tornando-se crítico que os dados coletados sejam protegidose gerenciados, visando fazer com que as pessoas sintam-se seguras quando utilizando aplicaçõesinteligente de cuidados médicos domiciliar.

Guennoun & El- Khatib (Guennoun and El-Khatib, 2009) apresentam uma arquiteturapara controle de acesso baseado em contexto, para cumprir as exigências de segurança daproteção de dados médicos, na qual a autorização de acesso será decidida tendo em conta aidentidade do solicitante e as condições médicas (contexto) do paciente.

A arquitetura tem três componentes principais: a) um gerenciador de contexto e coletade dados - responsável pela coleta de informações contextuais e de saúde a partir de informaçõesdos residentes de uma casa; b) o gerenciador de controle de acesso, que recebe as solicitações dasaplicações para acessar os dados médicos, realiza a autenticação e, utilizando dados contextuaisdo banco de dados, avalia as políticas de controle de acesso para decidir se permite ou negao acesso aos dados; c) o banco de dados, composto por um conjunto de dados médicos econtextuais.

4.2.6 Outros domínios e Abordagens (OD)

Em (Vagts et al., 2009) é proposto o NEST, um framework para segurar privacidade emsistemas de Smart Surveillance. Ao contrário de sistemas de vigilância tradicionais, que operamsob uma abordagem orientada a sensores, a arquitetura do NEST opta por uma abordagemorientada a tarefas, desde a utilização de um recurso até algum passo do processamento. Os


dados revelevantes, coletados diretamente dos sensores do sistema de vigilância, são agrupadosao OOWW (Object-Oriented World Model) (Bauer et al., 2009), responsável por assegurarprivacidade juntamente com o Gerenciador de Privacidade.

Por sua vez, o Gerenciador de Privacidade é composto por um Anonimizador, que alémde anonimizar os dados, também remove informações irrelevantes dos dados coletados; comotodas as informações está sujeitos a direitos de uso, um Gereciador de Direitos Digitais asseguraque os dados serão usado apenas em um contexto específico para o qual foram coletados, durantea execução da tarefa correspondente; um Gerenciador de Identidades, que gerencia todos osobjetos e suas entidades; um módulo para Execução de Privacidade responsável por aplicar leis eprincípios, baseados em (Publishing and OECD. Publishing, 2002) e; um módulo de interação,através do qual os usuários observados podem gerenciar seus dados pessoais.

Além dos domínios estudados, outros como Smart Surveillance (Vagts et al., 2009) eSmart Cars (LUO, 2004) podem ter seus próprios mecanismos de privacidade.

Além dos mecanismos de privacidade reportados nesta revisão, alguns outros podemser estudados para reforçar a implementação de privacidade em contextos inteligentes, comocredenciais anônimas (Cheung et al., 2011), custódia de terceiros (Efthymiou and Kalogridis,2010), pseudônimos (Roduner, 2003), Gateways (Simo Fhom et al., 2010), moderadores deassinatura de carga (Kalogridis et al., 2010) e esquemas de autenticação para provisão deprivacidade (Chim et al., 2011; Siddiqui et al., 2012).

Depois de ter estudado todas as abordagens descritas, levantaram-se alguns requisitoscomuns de privacidade, que serão discutidos na seção seguinte.

4.3. REQUISITOS COMUNS 67

4.3 Requisitos Comuns

Nesta seção serão discutidos os requisitos identificado relacionando-so aos trabalhos queos implementam, como mostra a Tabela 4.3. Entende-se que um trabalho satisfaz determinadorequisito se ele possui um componnte, processo e/ou técnica específicos que implementa asolução representada por cada requisito, como segue:

Tabela 4.3: Uso de requisitos de privacidade em Smart X por domínio estudado

Requisito SG SB SE SS SH SC ODAnonimização 1 2Aplicação de políticas 1 1 2 1 1Reputação 1Controles adaptáveis 2 1 1 1Controle de acesso 1 2 4 1 1Controle/Feedback do usuário 3 3 1 1 1 1Correspondência de Interesses 1 3Degradação de dados 1Disfarce de dados 2 2Especificação de preferências 1 2 4 3 1 1Histórico de interação 1 2Interação mínima com o usuário 1 1Minimização de dados 3 1 1 1 1Múltiplas identidades 1 2Responsabilidade 1Sensibilidade de dados 4 2 1 1Tipo/Propósito da informação 2 3 1 1 1

O requisito responsabilidade - do termo em inglês accountability - é tratado em (Ro-duner, 2003) e refere-se ao compromisso que uma pessoa/organização assume quando faz partede uma transação; especificamente, quando consumindo/provendo um serviço, os registros de in-teração dessa entidade devem ser associados a sua identidade a fim de se permitir o rastreamentodessa transação futuramente.

Degradação de dados, usada em (Van Heerde et al., 2006), associa uma taxa de de-gradação a dados sensíveis, de forma que se torne eventualmente inútil, devido à sua perda deprecisão.

Em (Sankar et al., 2013; Bagües et al., 2007; Gong and Li, 2011; Moncrieff et al., 2008)o disfarce de dados é aplicado para esconder identidade e contexto do usuário, ou mesmoemular suas atividades para evitar identificação de hábitos pessoais.

Sensibilidade de dados (ou grau de invasão de privacidade), encontrado em (Salehieet al., 2012; Sankar et al., 2013; Boyer et al., 2006; Moncrieff et al., 2008; Oyomno et al., 2011),mensura, como o próprio nome diz, quão sensível um dado pessoal é a fim de estabelecer asregras apropriadas para sua manipulação.

Em (Liampotis et al., 2009) é apresentado um mecanismo para estabelecer reputação,


que é útil quando o usuário vai consumir um serviço oferecido por um provedor desconhecido,não possuindo parâmetro algum para determinar sua reputação.

Minimização da interação do usuário é vista por (Bagües et al., 2007; Cho et al., 2004)com um requisito importante quando se trata de serviços ubíquos. Quanto menos o usuáriotiver que dispender tempo inserindo dados, mais agradável será sua interação. Particularmente,a menos que se garanta um comportamento cognitivo da aplicação quanto às preferências dousuário próximo do perfeito, este requisito não pode ferir nem o consentimento explícito, nem aconveniência, por que afetaria diretamente a provisão de privacidade.

O controle de acesso, mesmo sendo tradicionalmente utilizado em sistemas de informa-ção aplicados aos mais diversificados domínios, (Simo Fhom et al., 2010; Heinroth and Minker,2011; Boyer et al., 2006; Mouratidis and Giorgini, 2007; Liampotis et al., 2009; Lioudakis et al.,2007; Guennoun and El-Khatib, 2009; Könings et al., 2010) apontam este requisito como sendoum método com contribuições efetivas na busca de evitar que dados pessoais sejam acessadospor entitades não autorizadas.

Em (Liampotis et al., 2009; Vagts et al., 2009; Roduner, 2003), anonimização é usadocomo uma alternativa para evitar que, baseado em diferentes subconjunto de atributos pessoais,um indivíduo seja identificado.

O conhecimento dos propósito e tipo de informação é considerado um requisito impor-tante, já que determina que dados estão sendo capturados e para quais propósitos serão usados.Os trabalhos que implementam este requisito são (Bagües et al., 2007; Simo Fhom et al., 2010;Bohli et al., 2010; Boyer et al., 2006; Moncrieff et al., 2008; Oyomno et al., 2011; Guennounand El-Khatib, 2009; Vagts et al., 2009).

Um outro requisito levantado em (Liampotis et al., 2009; Vagts et al., 2009; Roduner,2003), é o histórico de interação, que registra cada ação do usuário ao interagir com um serviço,permitindo, por exemplo, que os provedores de serviço sejam avaliados de acordo com interaçõesanteriores, estabelecendo sua reputação, e também extrair preferência do usuários quanto a regraspessoas de exposição/não exposição de suas informações de acordo com o contexto.

Múltiplas identidades é um requisito essencial que justifica a adequação de serviçosa contextos, satisfeito em (Liampotis et al., 2009; Vagts et al., 2009; Roduner, 2003), no qualdados pessoais são gerenciados e, para cada transação, um conjunto adequado de atributos éusado como identidade, evitando que todo seu perfil seja revelado.

Correspondência de interesses, encontrado em (Simo Fhom et al., 2010; Cho et al.,2004; Liampotis et al., 2009; Westin, 1968), compreende as preferências de ambos os lados daprovisão de serviço - provedor e consumidor - ajustando as características do serviço aos dadosdisponíveis para exposição.

Controles de privacidade adaptáveis elevam os serviços ubíquos de um configuraçãode exposição estática e preconfiguração para uma dinâmica, aderindo à eles um comportamentoflexível. Este requisito é implementado em (Bagües et al., 2007; Salehie et al., 2012; Oyomnoet al., 2011; Busnel et al., 2008).


Aplicação de políticas, requisito encontrado em (Simo Fhom et al., 2010; Mouratidisand Giorgini, 2007; Liampotis et al., 2009; Oyomno et al., 2011; Lioudakis et al., 2009; Vagtset al., 2009), indica uma entidade específica na arquitetura ou framework cuja responsabilidade éassegurar que nenhuma política de privacidade está sendo violada.

Minimização de dados, aplicado em (Simo Fhom et al., 2010; Bohli et al., 2010; Sankaret al., 2013; Moncrieff et al., 2008; Lupiana et al., 2010; Guennoun and El-Khatib, 2009; Vagtset al., 2009), sugere que os dados pessoais requeridos/providos por/para um provedor de serviçodeve ser estritamente necessário para provisão do serviço em nível satisfatório.

Controle/Feedback do usuário assegura que o usuário estará totalmente consciente dequais dados, quando, como, por quanto tempo e por que; também garante que possa alterar ounegar o uso de seus dados quando quiser, bem como estabelecer suas preferências sobre em quaiscontextos seus dados podem ser usados. Este requisito pode ser encontrado em (Bagües et al.,2007; Simo Fhom et al., 2010; Cho et al., 2004; Heinroth and Minker, 2011; Salehie et al., 2012;Gong and Li, 2011; Boyer et al., 2006; Moncrieff et al., 2008; Guennoun and El-Khatib, 2009;Vagts et al., 2009).

Especificação de preferências diz que ambos lados envolvidos na provisão de umserviço pode determinar suas próprias condições, seja para prover (ou não) dado ou serviço.Este requisito foi o mais predominante, sendo encontrado nos seguintes trabalhos (Bagües et al.,2007; Simo Fhom et al., 2010; Maisonnasse et al., 2006; Cho et al., 2004; Heinroth and Minker,2011; Moncrieff et al., 2008; Van Heerde et al., 2006; Lioudakis et al., 2007; Liampotis et al.,2009; Oyomno et al., 2011; Busnel et al., 2008; Lioudakis et al., 2009).

4.4. RESULTADOS DA REVISÃO 70

4.4 Resultados da Revisão

A revisão apresentada consistiu de um conjunto de mecanismos de privacidade propostospara diferentes tipos de domínios inteligentes. O objetivo era entender as preocupações quesurgem quando se lida com privacidade em tais contexto e, como resultado, extrair os principaisrequisitos para os quais foram dirigidos os esforços na literatura estudada. A intenção era seestabelecer um conjunto de características básicas que um framework de privacidade deve terpara ser efetivo em tais domínios.

Deve-se lembrar que, depois de iniciado o estudo como um revisão sistemática, executou-se uma pesquisa exploratória na qual foram encontrados trabalhos mais interessantes que narevisão sistemática. Portanto, devido à sua natureza exploratória, é possível que algum trabalhoimportante ainda não tenha sido incluso, apesar dos esforços exaustivos dos pesquisadoresenvolvidos.

Baseado nos trabalhos relacionados ao gerenciamento de privacidade em Smart X,descobriu-se que a maioria das soluções de privacidade são implementadas como um con-junto de regras, ou políticas, às quais informações pessoais devem ser submetidas a fim dese determinar o que pode, ou não, ser exposta. Também descobriu-se algumas abordagensinteressantes (e incomuns) para melhorar a implementação de soluções de privacidade, tais comodegradação de dados e sensibilidade de dados.

Como pode ser observado na Tabelas 4.3, baseado nos trabalhos estudados não seidentificaram grandes preocupações com privacidade em domínios como Smart Health e Smart

City. Entretanto, o domínio de Smart Places é o que cobre a maioria dos requisitos identificados.Na verdade, muitos desses requisitos são satisfeitos no framework proposto em (Liampotis et al.,2009). Notou-se também a escassez de propostas de gestão de privacidade para o domíniode interesse deste trabalho, Cidades Inteligentes, indicando uma grande oportunidade para odesenvolvimento da proposta a ser apresentada.

Na maioria dos requisitos implementados pelos trabalhos estudados pode-se identificar afalta de envolvimento do usuário, resumindo se a soluções puramente técnicas. Isso pode servisto como um problema, já que não há como avaliar o quão eficaz é a solução proposta, combase em feedback de usuário. Além disso, quando o usuário não está envolvido na solução, elepode optar ou por não fornecer dado algum - tirando a razão de ser de ambientes inteligentes,que é melhorar a qualidade de vida das pessoas - evitando qualquer tipo de exposição, ou elepode, de alguma forma, perder o controle de seus próprios dados sem visibilidade de em queextensão serão usado, por quanto tempo, por quem, etc., fazendo com que a solução seja efetivasomente em um cenário ou domínio extremamente limitado.

Depois de avaliar como os requisitos levantadas por este trabalho se encaixariam nocontexto de cidade inteligente, pôde-se encontrar evidências da importância da construção deum framework para detalhar princípios e diretrizes para privacidade de dados em domíniosinteligentes como um todo. Sendo assim, o capítulo que se segue concentra-se na construção

4.4. RESULTADOS DA REVISÃO 71

do framework de privacidade, focado na preservação do cidadão dados pessoais, incentivandoengajamento, dando controle conveniente ao usuário e assegurando gerencimento durante todo ociclo de vida de seus dados nestes domínios inteligentes.

727272

5Go!SIP, O Framework

I can accept failure, everyone fails at something.

But I can’t accept not trying.

—MICHAEL JORDAN

Este capítulo vai apresentar o framework de privacidade para pessoas como sensores emCIs proposto neste trabalho, baseado nos conceitos teóricos, problemas e contextos descritosanteriormente.

O nome escolhido para futuras referências ao mesmo foi Go!SIP. O Go! (do verboir, avançar, em inglês) é uma alusão ao estímulo à exposição segura de dados, através dasdiretrizes propostas neste trabalho; o SIP é uma sigla para Smart Identification Privacy (doinglês privacidade de identificação inteligente); por sua vez, o nome O Go!SIP é um trocadilhooportuno da palavra gossip, que é o verbo em inglês para fofocar, bisbilhotar, mexericar.

No capítulo anterior, foi apresentada a revisão que destacou os principais requisitosabordados em propostas de mecanismos de privacidade, aplicados em diferentes domíniosinteligentes. No total, foram levantados 19 requisitos, como mostra a Tabela 4.3. Sendo aideia deste trabalho prover privacidade dentro de um paradigma centrado no usuário, em umadiscussão com os pesquisadores que participaram da revisão reportada no capítulo anterior, 13requisitos entendidos como adequados à proposta do framework foram selecionados e serãoapresentados a seguir. Os demais requisitos não foram inclusos pois tratavam-se de característicasmais específicas, que foram reservados para serem adicionados à medida que a proposta evoluir,em trabalhos futuros (como é o caso da reputação, anonimização e disfarce de dados).

� Aplicação de Políticas

� Controle/Feedback do usuário

� Correspondência de interesses

� Degradação de dados

73

� Especificação de preferências

� Histórico de interação

� Interação mínima com o usuário

� Minimização de dados

� Múltiplas identidades

� Reputação

� Responsabilidade

� Sensibilidade de dados

� Tipo/Propósito da informação

A partir da seção que se segue, será apresentado como o Go!SIP foi concebido, bemcomo a descrição de cada uma de suas partes.

5.1. DESCRIÇÃO DO GO!SIP 74

5.1 Descrição do Go!SIP

A composição do Go!SIP foi iniciada com a seguinte observação: a forma como cadarequisito materializava sua contribuição na privacidade era diferente. O requisito Anonimização,por exemplo, contribui atuando diretamente no dado a ser exposto, diferente da Especificaçãode Preferências - que envolve a figura do usuário e do Provedor de Serviço para determinarsuas condições de exposição - ou ainda da Correspondência de Interesses, que remete à própriadinâmica de como o serviço equilibra os interesses envolvidos na provisão/consumo do serviço.

Baseado nesta observação, criou-se uma organização para os requisitos extraídos, agru-pando-os de acordo com o seu objeto-alvo no cumprimento da privacidade. Três paradigmassão descritos a seguir, representando essa organização: Paradigma Centrado no Dado (PCD),Paradigma Centrado no Usuário (PCU) e Paradigma Centrado no Serviço (PCS).

5.1.1 Classificação Baseada em Paradigmas

5.1.1.1 Paradigma Centrado no Dado (PCD)

O PCD caracteriza-se pela atenção especial ao dado, sua natureza, estado, manipulação,contexto e respectivas regras/políticas específicas.

5.1.1.2 Paradigma Centrado no Usuário (PCU)

No PCU, a centralização no usuário muda o ponto de vista de importância quando trata-sede privacidade. Ainda que manter (ou não) a privacidade dependa de expor/omitir algum dado,este paradigma indica participação direta do usuário, manifestação de suas preferências, bemcomo o impacto (maléfico/benéfico) dela decorrente.

5.1.1.3 Paradigma Centrado no Serviço (PCS)

No PCS, o tratamento é feito independente do indivíduo em questão ou do dado sendoavaliado. Elementos que se enquadrem nesta categoria vão tratar do serviço, a forma comoé/deve ser provido e/ou consumido, incluindo sua infraestrutura, configuração e dinâmica defuncionamento, ou ainda podem tratar de um característica que está em um nível de abstraçãoacima de dados e usuários envolvidos, que se refira à transação em andamento durante a utilizaçãodo serviço.

5.1.2 Classificação dos Requisitos

Considerando a definição dos tipos de paradigmas acima, a classificação dos requisitos,baseando-se na descrição apresentada na Seção 4.3; a Tabela 5.1 representa um resumo dessaclassificação.


Tabela 5.1: Classificação do requisitos de acordo com os paradigmas PCD, PCU e PCS

Requisito PCD PCU PCSAnonimização XAplicação de políticas XControle de acesso XControles adaptáveis XControle/Feedback do usuário XCorrespondência de Interesses X XDegradação de dados XDisfarce de dados XEspecificação de preferências X XHistórico de interação X XInteração mínima com o usuário XMinimização de dados XMúltiplas identidades XReputação XResponsabilidade XSensibilidade de dados XTipo/Propósito da informação X X

A anonimização implica em utilizar diversos subconjuntos de atributos de um indivíduo,de modo que não se possa dizer a quem pertence baseando-se pelos atributos selecionados para oconsumo de um serviço. A manipulação dos dados indica o enquadramento do requisito no PCD.

A aplicação de políticas envolve a forma como o serviço decide aplicar suas regras,definidas arbitrariamente, quer seja nas interfaces definidas para sua utilização, na transferênciade informação, em alguma etapa do gerenciamento do dado (coleta, armazenamento, utilização,etc.) ou mesmo na forma como o usuário é envolvido. Essa generalização no propósito daaplicação de políticas classifica este requisito como PCS.

O controle de acesso garante a autorização de acesso aos dados por indivíduos e entida-des, sendo responsabilidade do serviço assegurar essa característica, este requisito classifica-seno PCS.

Os controles adaptáveis de privacidade envolvem a disponibilização de mecanismosflexíveis de estabelecimento de regras dos dados dos indivíduos por part do provedor de serviço,caracterizando-se como parte do PCS.

Controle/Feedback do usuário implica na capacidade do serviço de garantir o controledo usuário sobre seus dados, bem como garantir explicitamente que estes estão em conformidadecom suas preferências. Sendo um requisito implementado a nível de serviço, classifica-se comoPCS.

A correspondência de interesses é considerada híbrida, PCU/PCS, pois implica notratamento tanto das preferência do usuário em relação ao contexto de exposição de seus dados,quanto das configurações e dinâmica do serviço a ser consumido.

A degradação de dados, classificada como PCD, implica em associar um valor de


Figura 5.1: Diagrama dos Níveis de Implementação de Privacidade que compõe oGo!SIP

precisão aos dados, impactando em sua utilidade.Técnicas de disfarce de dados, também manipulam diretamente os dados, distorcendo-

os ou inserindo ruídos, de modo que, caso interceptados durante a transmissão, não exponha osindivíduo a que pertencem. Este requisito é classificado como PCD.

A especificação de preferências é considerada híbrida, PCU/PCS, pois implica nadefinição de preferência do usuário em relação ao contexto de exposição de seus dados e nadefinição do requisitos de provisão do serviço.

O histórico de interação também é considerado híbrido, PCU/PCS, pois representa aparticpação do usuário dentro da dinâmica de funcionamento do serviço.

A interação mínima com o usuário implica na disponibilização de meios para queo usuário implemente suas preferências de privacidade, sem aumentar a carga cognitiva nautilização do serviço. Este requisito é classificado como PCU.

A minimização de dados requer que o conjunto de dados que compõe a identidadeutilizada ao consumir um serviço seja composta pelo número mínimo de atributos possível. Esterequisito é classificado como PCD.


As múltiplas identidades envolvem a utilização de dados que sejam estritamente ade-quadas ao contexto de um serviço. Este requisito também é classificado como PCD.

A reputação de um provedor de serviço é útil quando algum serviço deste vier a serutilizado por um indivíduo pela primeira vez; cenário vislumbrado como recorrente com certafrequência em uma cidade, visto que as pessoas estão livremente em movimento. Esta reputaçãopode ser determinada levando em consideração tanto os dados que requer para utilização dealgum serviço, quanto pelo feedback dados pelos indivíduos que consumiram o serviço. Sendoassim, este requisito é classificado como PCS.

A responsabilidade implica em conscientizar o usuário de que, cabe a ele mesmo,ponderar suas escolhas e preferências expressas em relação à sua privacidade. Este requisito éclassificado como PCU.

O requisito tipo/propósito da informação é considerado híbrido, PCD/PCS, pois en-volve tanto a natureza do dado em questão, quando a forma como o serviço vai utilizá-lo.

5.2. CONSIDERAÇÕES E APLICAÇÃO DO GO!SIP 78

5.2 Considerações e Aplicação do Go!SIP

Partindo da classificação apresentada na Subseção 5.1.2, pode se elaborar os níveis deter-minados pelo framework, nomeados de acordo com os paradigmas, como mostra a Figura 5.1.Cada nível representa um paradigma de implementação de privacidade - o Nível de Dado repre-senta o PCD, o Nível de Usuário representa o PCU e o Nível de Serviço representa o PCS - noqual o dado, usuário ou serviço é priorizado, em detrimento dos demais, através da satisfação dosrequisitos especificados. Devido à natureza de alguns deles, os níveis que compreendem podemse sobrepor, por exemplo, o Tipo/Propósito da Informação e a Correspondência de Interesses, quese encontram na intersecção dos Níveis de Dado/Serviço e Usuário/Serviço, respectivamente.

A ideia é que, a medida que os requisitos são satisfeitos, os Níveis de implementação deprivacidade são completados gradativamente, possibilitando a comparação de diferentes soluções,tanto em relação ao paradigma predominante, quanto em relação aos requisitos dentro de cadaNível. Se em algum momento a necessidade apontar a inclusão de novos requisitos, como umaevolução do framework, os mesmos podem ser classificados e inclusos, gerando uma atualizaçãona classificação baseada em paradigmas das soluções, mantendo o carater comparativo entreelas.

Ainda sobre os paradigmas, identifica-se que o PCS é o mais frequente. Isso se deve emparte à predominância que o domínio de Smart Spaces possui na implementação de requisitoslevantados na fase de pesquisa, o que impacta na supervalorização dos serviços e respectivascaracterísticas imersos neste contexto; além disso, a solução de privacidade descrita nos trabalhospropostos para outros domínios são construídas a partir da relação provedor/consumidor deserviços, o que diminui a relevância dos outros paradigmas (PCD e PCU).

A seguir, os domínios estudados na revisão, apresentada no Capítulo 4, serão avaliadosquanto aos requisitos que os trabalhos descritos implementam, conforme mostra a Tabela 5.2.Para cada requisito foi somado 1 ponto para o trabalho, no paradigma ao qual pertence o requisito;nos caso em que um requisito pertence a mais de um paradigma, o valor foi divido igualmenteentre os paradigmas. A última coluna representa a classificação do domínio, considerandoo paradigma predominante. Os trabalho inclusos em Outros Domínios, na Seção 4.2, foramomitidos, por não tratar-se de um domínio específico, dificultando a análise.

Tabela 5.2: Domínios estudados e seu paradigma predominante

Requisito PCD PCU PCS Paradigma PredominanteSmart Grids 9 4 7 PCDSmart Buildings e Homes 5.5 5 6.5 PCSSmart Environment 3 2.5 5.5 PCSSmart Spaces 3.5 6 10.5 PCSSmart Health 1.5 1.5 3 PCS

Como visto, a grande maioria dos domínios apresentam um viés voltado para o serviço aser prestado. Isso pode decorrer fato de, nesses domínios, o estado atual da área estar na fase

5.2. CONSIDERAÇÕES E APLICAÇÃO DO GO!SIP 79

da exploração das possibilidades e capacidades das aplicações que podem ser disponibilizadas,tornando-se necessário abordar privacidade para essas situações.

Quando ao domínio de Smart Grids (SG), este teve como paradigma predominanteo foco no dado. Ao contrário dos demais domínios, como o tipo serviço prestado aqui sãomais padronizados, variando entre medição, balanceamente entre oferta e demanda, consumo ecorrelatos, a preocupação maior seja com o dado manipulado e o que pode ser feito neste sentidopara prover privacidades.

De um modo geral, baseando-se nos trabalhos estudados, vê-se que a preocupação comdados e serviços ainda supera a preocupação com o usuário na maioria dos domínios. Há que seconsentir que não é possível um trabalho prover privacidade sem atacar as três frentes: dados,usuário e serviço. Sendo assim, a proposta do Go!SIP é convergir a implementação dos requisitosfocados em dados e serviços para controle e/ou consciência do usuário, de modo que a percepçãoda solução como um todo, seja que o controle está, de fato, na mão do indivíduo. Com estepropósito, a seção a seguir apresenta a materialização dos requisitos Preferência do Usuário(PCU/PCS), Degradação de Dados (PCD), Sensibilidade de Dados (PCD) e Reputação (PCS),através de uma abordagem de convergência desses requisitos para auxiliar o usuário em seumomento de decisão de exposição de seus dados pessoais.

5.3. CONVERGÊNCIA DE PARADIGMAS: UMA ABORDAGEM QUANTITATIVA 80

5.3 Convergência de Paradigmas: Uma Abordagem Quanti-tativa

O intuito principal deste trabalho é permitir que o usuário tenha mais informações emmãos no momento de decidir expor ou não seus dados, de modo a fazê-lo de forma consciente.

Para facilitar a explicitação do efeito do requisito, pensou-se em representar sua evidênciade forma que permitisse fácil comparação. Neste sentido, este trabalho propõe um conjunto demétricas, de indicadores quantitativos, que representem requisitos, mesmo os centrados em dadoou em serviço, dando o controle e consentimento da solução para o usuário.

Nas seções que seguem serão descritos os índices/métricas propostos para implementaros requisitos Preferência do Usuário (Especificação de Preferências) (PCU/PCS), Degradação deDados (PCD), Sensibilidade de Dados (PCD) e Reputação (PCS).

5.3.1 Definições preliminares

Para compreensão dos conceitos que serão apresentados nas subsessões seguintes,definem-se os seguintes:

� Atributo: Propriedade ou característica de um indivíduo representada de formaquantitativa ou qualitativa, de acordo com a natureza do contexto em que é aplicável.Ex.: nome, idade, local de nascimento, peso, etc.;

� Identidade: Subconjunto de atributos de um indivíduo, correspondentes aos interes-ses de utilização em a algum contexto.

5.3.2 Cálculo de Exposição

O Índice de Exposição (IE), cujo cálculo será mostrado a seguir, representa um conceitoapresentado nos trabalhos de (Salehie et al., 2012; Sankar et al., 2013; Boyer et al., 2006;Moncrieff et al., 2008; Oyomno et al., 2011), que estudam o impacto da sensibilidade de dadose como isso reflete na perda de privacidade de um indivíduo. Aqui, utilizou-se como ponto departida uma identidade (conjunto de atributos necessários para provisão de um determinadoserviço, em um determinado Nível de Proposição de Valor (NPV)) e como unidade fundamental,um atributo. Logo, a exposição é calculada para uma identidade, tendo como parâmetro osatributos que a compõe.

A importância de tal métrica é determinada pela capacidade de mensurar o risco daexposição dos dados de um indivíduo, quer seja pela sensibilidade dos atributos envolvidos, pelaprecisão dos mesmo ou por ambos motivos, o que permite ter mair cautela antes de expô-lose ser mais criterioso para com os provedores de serviço que requerem dados mais sensíveis,levando em conta o NPV que oferecem. Além disso, como apontado em (Tene and Polonetsky,


2012), esta métrica pode ajudar na fundamentação do consenso de exposição levando em contarisco, propósito e potenciais consequências, tornando esses parâmetros mais palpáveis para osusuários.

As subseções a seguir apresentam métricas auxiliares antes de, finalmente, apresentar ocálculo do Índice de Exposição.

5.3.2.1 Índice de Proteção Individual

O primeiro passo rumo ao cálculo de exposição é a classificação de cada atributo quantoao seu Índice de Proteção Individual (IPI). Este índice serve para mensurar a importânciaindividual dada aos atributos, de modo que se inclua essa visão do usuário no cálculo deexposição.

Assim sendo, os atributos podem ser categorizados da seguinte forma:

� Secretos: atributos cujo conteúdo é para uso exclusivo do indivíduo ao qual ele serefere (IPI = 100);

� Fechados: atributos cujo conteúdo é de uso exclusivo o indivíduo ao qual ele serefere e às entidade explicitamente autorizadas a fazê-lo (IPI = 50);

� Públicos: atributos cujo conteúdo pode ser livremente utilizado (IPI = 0).

Requisito representado: Preferência do usuário.

5.3.2.2 Cálculo de Precisão do Atributo

Uma vez determinado o IPI do atributo, deve-se estabelecer uma taxa de degradação (d)

para o mesmo. Assim como o mesmo conceito apresentado em (Van Heerde et al., 2006), a taxade degradação diz quão verdadeiro ou preciso é um dado atributo, sendo esta precisão calculadaem função do tempo - de coleta ou armazenamento - e da variação sofrida ao longo do tempoconsiderado.

O valor da taxa de degradação (d) de um atributo pode variar entre 0% - no caso em quenunca muda, representando um valor constante, e 100% - no caso em que muda a cada variaçãode uma unidade na escala de tempo considerada.

Seguem alguns exemplos de atributos e suas taxas de degradação:

� Nome de um indivíduo: o nome de uma pessoas nunca muda, ao menos teorica-mente, logo:

d = 0%

� Idade de um indivíduo: a cada mês a idade perde sua precisão (100/12), logo;

d = 8.33%


Para atributos cuja variação não seja em períodos regulares, uma aproximação deve serdeterminada de acordo com a percepção individual.

Uma vez disponibilizada a taxa d, o framework irá calcular, dado a data em que oatributo foi gerado/coletado, quão preciso ele é em determinado tempo t. No tempo t0 oatributo tem sua maior precisão (100%), no tempo t, a precisão de um atributo será dada porp(d, t) = 100−d ∗ (t− t0), ou ainda:

p(d, t) = 100−d ∗∆t

Requisito representado: Degradação de Dados.

5.3.2.3 Índice de Exposição

O cálculo de exposição leva em consideração o IPI de cada atributo e sua respectivaprecisão.

Partindo da premissa de que dados mais precisos implicam em maior exposição e,analogamente, dados menos precisos implicam em menor exposição, a ideia deste índice éavaliar a exposição de acordo com a importância manifestada pelo usuário com relação aoatributo e calcular esse impacto em uma identidade.

Dada uma identidade (conjunto de atributos), representada por um array de atributos, ovalor do Índice de Exposição (Ex) para esta identidade é dado por:

I = {a0,a1, . . . ,an−1}

Ex =∑

n−1i=0 p(di, t)∗ IPIi

102 ∗nA proposta da fórmula é somar a exposição individual de cada atributo e mapear este

valor, cujo mínimo e máximo seriam 0 e 102 ∗ n, respectivamente, para um intervalo entre 0e 100, para facilitar a compreensão. Um índice de exposição 0 indica pouquíssima/nenhumexposição; um índice de exposição 100, indica máxima exposição.

É importante lembrar que o t deve estar na mesma unidade para todos os atributos (i.e.mês, dia, etc.), já que interfere no valor da taxa de degradação a ser usada.

Requisito representado: Sensibilidade de Dados.

5.3.3 Cálculo de Similaridade

O cálculo de similaridade permite estabelecer uma reputação inicial para provedoresde serviço desconhecidos baseada em interações históricas com provedores de serviço conhe-cidos ou comparar níveis de exposição entre provedores que oferecem serviços com mesmascaracterísticas. Aqui, há de se levar em consideração o Índice de Exposição (IE) para cada NPV.

Dado que um provedor de serviço SPt , cuja similaridade será testada, calculam-se osvetores ExV (SPt) e ExV (SPx) (ou vetores-exposição) dos m níveis de proposição de valor, para


cada provedor de serviço conhecido SPx ao qual pode ser comparado, que compreende o IE paracada NPV.

Já que cada NPV requer eventualmente um conjunto diferente de atributos, o IE dosdiferentes níveis podem também ser diferentes. Assim, tem-se o seguinte:

ExV (SPt) = [NPV (t)1,NPV (t)2, ..,NPV (t)m−1,NPV (t)m]

ExV (SPx) = [NPV (x)1,NPV (x)2, ..,NPV (x)m−1,NPV (x)m]

Onde:

� ExV (SPx) é o vetor-exposição que representa SPx;

� ExV (SPt) é o vetor-exposição que representa SPt ;

� SL(x)i é o IE para SPx no NPV i.

Finalmente, tem-se:

dist(SPt ,SPx) =

√m

∑i=1

(NPV (t)i−NPV (x)i)2

Assim, quanto menor a distância, mais similar SPt é em relação a SPx:

sim(SPt ,SPx) = min(dist(SPt ,SPx))

A comparação entre NPV de diferentes serviços só faz sentido quando requerem o mesmoconjunto de atributos e tem dados de saída similares. Dessa forma, o cálculo da similaridadenaturalmente inclui a abordagem contextual, onde somente os serviços de mesma natureza podemser avaliados e comparados entre si.

Requisito representado: Reputação.

5.4. RUMO À AVALIAÇÃO 84

5.4 Rumo à Avaliação

Uma vez mostrado como o Go!SIP deve funcionar, próximo passo é implementar osrequisitos acima, implementados na forma de métricas, e verificar se cumprem os propósitospara os quais foram escolhidos.

Já que o foco do trabalho é o aspecto humano envolvido no problema de privacidade,considerando que a maioria das propostas encontradas na literatura tem viés voltado para dadose serviços e que parte do funcionamento do Go!SIP assemelha-se às abordagens estudadas - que,inclusive, já foram validadas junto à comunidade científica - o aspecto remascente a ser avaliadofica por conta da centralização no usuário.

Partindo de um conjunto de preferências de exposição de dados pessoais e de consumode serviços, pretende-se avaliar a resposta do usuário quanto à transparência na exposição apenasdos dados necessários e adequados a cada contexto e na indicação do risco ao qual se submeteao expô-los, suportado por controles disponibilizados para o usuário.

O propósito principal é identificar a preparação das pessoas para a iminente era deutilização massiva de dados pessoais, com o intuito de otimização, maximização de personaliza-ção e proposição de valor, fornecendo meios para que manifestem suas preferências e tomemdecisões de exposição baseadas em informações principalmente quantitativas - representadaspelos índices propostos - em direção a um cenário em que estejam aptas para igualar-se emtermos de informação quanto ao uso de dados pessoais, através do Go!SIP.

O capítulo a seguir apresenta o método escolhido para executa a avaliação, como foidesenvolvido, como se deu o processo de experimentação e os resultados extraídos.

858585

6Avaliação do Framework

It is no use saying, ’We are doing our best.’

You have got to succeed in doing what is necessary.

—WINSTON CHURCHILL

A escolha do método de avaliação para o framework proposto foi uma das partes maisdesafiadoras deste trabalho. Primeiro, devido ao nível de subjetividade que o assunto privacidadepode assumir do ponto de vista humano, faz com que um experimento convencional poderianão trazer a carga contextual necessária para a compreensão do processo de decisão de expor ounão as informações pessoais, quais os fatores favoráveis/desfavoráveis, motivos prováveis, etc.;cogitou-se utilizar questionários, porém, identificou-se que não se poderia garantir a sinceridadedas respostas dos participantes, que poderiam direcionar suas intenções para respostas totalmentefavoráveis à exposição de dados pessoais, já que não poderiam sentir o impacto das consequências,ou ainda fechar-se às possibilidades e necessidades de exposição de dados na vida real, feitaquase que diariamente em troca de algum benefício.

Em segundo lugar, uma avaliação teórica não permitiria identificar o impacto da propostana vida real, eliminaria o caráter prático do assunto.

Por último, como os trabalhos estudados não disponibilizam suas implementações, nãoseria possível comparar as soluções propostas. Adicionalmente, mesmo que fosse possívelacessar a implementação, os contextos são diferentes, o que poderia prejudicar a análise dascomparações. Outra alternativa, seria comparar a proposta com mecanismos de privacidade deferramentas popularmente conhecidas, como redes sociais, ferramentas de email e e-commerces,mas além da difereça de contexto, a proposição de valor dificultaria a criação de alguma métricade comparação e tornaria a avaliação extremamente subjetiva.

Depois de estudar as possibilidades, chegou-se a analisar a implementação de um Estudode Caso, que cobriu as necessidades de inclusão de contexto e de perspectivas individuais. Poreste motivo, este foi o método escolhido para avaliação da proposta.

6.1. UMA VISÃO GERAL SOBRE ESTUDOS DE CASO 86

6.1 Uma Visão Geral Sobre Estudos de Caso

A utilização de Estudos de Caso em pesquisas permite a exploração de um tópicode interesse, dentro de seu próprio contexto, usando uma variedade de fontes de dados. Asdiscussões apresentadas em (Stake, 1995) e (Yin, 2014), descrevem esta técnica afirmando que averdade é relativa e, como tal, é dependende da perspectiva; logo, reconhece-se a importância doindivíduo que cria e atribui significado, sem abrir mão da objetividade.

De acordo com (Baxter and Jack, 2008), uma das vantagens do Estudo de Caso é acooperação estreita entre o pesquisador e os participantes; enquanto cada participante pode“contar sua história”, cada história descreve uma visão individual da realidade e permite aopesquisador melhor entender suas ações.

Kitchenham & Pickard (Kitchenham et al., 1995) afirmam que, mesmo que seja maisfácil de planejar, que um experimento, um Estudo de Caso é mais difícil de interpretar e degeneralizar; pode-se mostrar os efeitos de um determinado cenário, mas não se pode generalizarpara qualquer cenário.

Em (Yin, 2014), Yin afirma que um Estudo de Caso deve ser considerado nas seguintessituações: (a) O foco do estudo é responder questões do tipo “como” e “por que”; (b) Nãose pode manipular o comportamento dos participantes envolvidos no estudo; (c) É necessárioconsiderar as condições contextuais, vistas como relevantes para o fenômeno sendo estudado;(d) Os limites entre fenômeno e contexto não são bem definidos.

Miles & Huberman (Miles and Huberman, 1994) auxiliam na definição do que pode serconsiderado a unidade básica de um Estudo de Caso, ou simplemente, o “caso”. Os autoresafirmam que alguns questionamentos sobre o que se quer analisar pode ajudar neste sentido;portanto, assim como nas Revisões Sistemáticas, as Questões de Pesquisas ajudam a direcionar osesforços da avaliação. Estas questões devem ser específicas e não podem comtemplar múltiplosobjetivos simultaneamente.

Uma vez definidas as perguntas, deve-se determinar como os dados serão coletados,armazenados e disponibilizados para análise. Assim que concluída a análise, o Estudo deveser reportado de forma completa, permitindo que outros pesquisadores possam compreender ométodo utilizado e os resultados.

6.2. ESCOPO DA AVALIAÇÃO 87

6.2 Escopo da Avaliação

Como o framework descrito é bem extenso e genérico, aliado ao tempo disponível parao desenvolvimento da pesquisa, a escopo da avaliação será menor em relação à proposta dotrabalho.

Como a intenção é convergir o foco no indivíduo, a avaliação vai cobrir os índicespropostos, a saber: Índice de Proteção Individual e Índice de Exposição, já que eles fazem partedo mecanismo que permite decisão informada por parte do usuário.

6.3. METODOLOGIA 88

6.3 Metodologia

O Estudo de Caso aqui apresentado segue, em linhas gerais, uma abordagem adaptadada versão apresentada em (Baxter and Jack, 2008), devido à sua simplicidade de descrição ecompreensão.

O objetivo da avaliação aqui descrita é avaliar a percepção do usuário em relação àproposta de gerenciamento de privacidade de dados pessoais, em modelo centrado no usuário,visando verificar o engajamento dos usuários através de um controle auxiliado e verificar sedecisões informadas podem fazê-lo assumir ações mais responsáveis ao expor seus dados.

Como a ideia é avaliar os índices propostos de auxílio a decisão, a Questão de Pesquisadefinida para guiar o Estudo é a seguinte:

“As pessoas são mais propensas a expor dados quando apoiadas por parâme-tros quantitativos ?”

O caso proposto para estudo foi dividido em diferentes cenários, como atendimentomédico, redes sociais, serviços públicos, pagamento, etc., para os quais foi listado um conjuntode situações que poderiam abrigar, nos quais fossem disponibilizados serviços que dependessemdo uso de dados pessoais. Um indivíduo então seria submetido a um conjunto de cenários e suasações, em cada um deles, deveria ser registrada para análise.

Para que o conjunto de cenários e a transição entre eles fosse coerente, foi necessárioencontrar uma forma de descrevê-los, de modo que o usuário fosse conduzido imperceptivelmentede um a outro, com a atenção minada pelo contexto, na qual a situação de exposição de dadosseria embutida, sem criar nenhum tipo de alerta para o que estava sendo feito realmente.

Com o auxílio de uma equipe composta por Engenheiros de Usabilidade e de Game

Designers, decidiu-se que o Estudo de Caso poderia ser conduzido no formato de uma históriainterativa, na qual situações fossem propostas e decisões pudessem ser feitas, conduzindo oparticipante pelo experimento. Como embasamento teórico, foi necessário estudar os princípiosde Storytelling e de Gamebooks, para compor a execução do caso. Estes assunto serão abordadosnas subseções 6.3.1 e 6.3.2 que se seguem.

6.3.1 Storytelling

De acordo com (Eisner, 2008), desde os tempos remotos “o ato de contar histórias

está enraizado no comportamento social dos grupos humanos”. Inicialmente usadas comoferramenta para transmissão de conhecimento entre gerações, as histórias passaram a entreter,educar, ensinar comportamentos, discutir valores ou satisfazer a curiosidade.

Esta técnica consiste na criação de uma história, constituída de um início e um fim,intermediados por uma sequência de eventos estruturados de modo coeso, incluindo um oumais personagens, um ambiente na qual os evento se desenrolam e um (ou mais) acontecimentoprincipal que representa o clímax (ponto alto de tensão) da história.

6.3. METODOLOGIA 89

De acordo com Will Eisner (Eisner, 2005), o ritmo com que os eventos se sucedem, aforma como o problema ou a situação clímax é resolvida, as causas que levam a ela, o efeito queproduzem e o ferramental cognitivo utilizado, são importantes para uma experiência satisfatóriana storytelling. Para isso, é essencial que o contexto proposto pela história seja conhecido osuficiente pelo leitor a fim de que se produza empatia e o permita partilhar das experiências dospersonagens, sendo este o objetivo final da história.

6.3.2 Gamebooks

Um Gamebook é, em uma definição adequada ao propósito deste trabalho, um livrotipicamente escrito na 2ª pessoa, no qual o leitor atua na história através de escolhas que afetamo curso da narrativa (Gamebooks.org, 2002) e que oferecem uma história não contínua adequadaao contexto de uma storytelling interativa.

Dos exemplos mais antigos que se têm registro, podem-se citar An Examination of the

Work of Herbert Quain (Borges, 1941), de Jorge Luis Borges, e a série Tutor Text (Crowder,1958).

Em An Examination of the Work of Herbert Quain são apresentados vários trabalhos doautor Herbert Quain, como o romance April March, constituído de treze capítulos, formandonove histórias diferentes. Partindo-se do primeiro capítulo, as decisões escolhidas pelo leitorpodem levá-lo a um dos três próximos capítulos e, cada um destes, levam a um dos três capítulossubsequentes (Kistler et al., 2011).

A série de livros educacionais Tutor Text, permitiam que os alunos pudessem aprendersem a necessidade da presença de um professor. Questões de múltipla escolha direcionavampara páginas diferentes de acordo com a resposta escolhida. No caso de uma resposta incorreta,o aluno seria levado para uma página que explicava o porque aquela resposta estava errada;quando a resposta estivesse certa, uma página com mais informações seria indicada, incluindo aspróximas questões.

Na forma como foi utilizada neste trabalho, a técnica foi empregada no formato de umahistória de enredo ramificado (Gamebooks.org, 2002), atribuindo ao leitor as escolhas para suacontinuidade, levando a um dos finais previstos.

6.3.3 Por Que Storytelling e Gamebook?

A princípio, pensou-se em testar a proposta deste trabalho através de um questionário,no qual, os participantes seriam questionados sobre sua percepção da utilidade das funções(consideradas para avaliação) do Go!SIP, sem ou após o uso, em determinada situação deexposição de privacidade.

Apesar dos questionários serem vistos como uma forma rápida de obtenção de opinião,serem objetivos, obtendo respostas em formato padronizado, caso seja aplicado posterior aoexperimento, alguns detalhes da experiência podem ser esquecidos. Além disso, se fosse

6.3. METODOLOGIA 90

necessário uma quantidade razoavelmente grande de perguntas, o interesse do usuário poderiase perder ao longo do preenchimento, tornando-se um risco potencial à análise dos resultados.Finalmente, os participantes poderiam deixar de revelar alguma informação, ou poderiam acharque seriam penalizados caso fornecessem sua real opinião (Milne, 1999).

Como o uso de questionários trazia em si o risco de que, a forma como os usuáriosatuariam nos cenários descritos poderia não ser próximo ao que fariam no mundo real, a funçãode storytelling no contexto deste trabalho foi estratégica, visando minimizar este problema.Era necessário expor as pessoas a cenários cotidianos, eventualmente futurísticos, no qual sepropusessem situações em que seriam impelidas a fornecer seus dados pessoais. Decidiu-seutilizar uma história, em forma de narrativa, organizada como um gamebook e adicionando umacamada de ludicidade à proposta, de modo que as pessoas se sentissem livres para expressar suasdecisões da forma mais sincera possível.

Agregando as duas técnicas, fez-se possível extrair as informações necessárias para oprocesso de avaliação, através de um questionário-jogo, no formato de história, trabalhando aexperiência de forma intrinsecamente lúdica.

6.4. EXECUÇÃO DA AVALIAÇÃO 91

6.4 Execução da Avaliação

Após decidir que o Estudo de Caso seria materializado através de storytelling, organizadocomo um gamebook, iniciaram-se as atividades rumo à execução da experiência, partindo daconcepção da história, definição do perfil esperado de participantes, ao desenvolvimento daaplicação até sua disponibilização. Cada uma dessas etapas são exploradas das subseções que seseguem.

6.4.1 A Criação da História

Para a criação da história, os mesmos pesquisadores envolvidos ao longo do desenvolvi-mento deste trabalho foram convidados a propor situações cotidianas isoladas, que poderiam sepassar em um contexto urbano, nas quais seria necessário expor algum dado pessoal.

Assim que a lista de situações foi criada, um enredo foi construído a fim de conectá-las.Antes de partir para fase de implementação, um Game Designer foi convidado a validar a história,destacando pontos que poderiam ser melhorados, de modo que se pudesse envolver ao máximoo usuário e extrair dele as informações necessárias. Realizou-se vários ciclos de revisão nestaetapa; cada revisão tinha como objetivo, além de avaliar a ludicidade da história e a adequaçãoaos interesses da pesquisa, certificar-se de que cada situação iria impactar em alguma açãofutura, criando a noção de causa-efeito. Além disso, os finais possíveis deveriam ter conteúdocondizente com a trajetória selecionada, expostos de forma possivelmente cômica, para concluira experiência de participação que trouxesse à memoria o aspecto lúdico intencionado.

O grande desafio da etapa de criação da história foi, na verdade, desenvolver as ramifica-ções da história nos pontos de decisão, nos quais as opções seriam apresentadas ao participante,e conduzir cada uma das continuações de forma coerente, levando a um final interessante, queretratasse as escolhas feitas.

Depois das inúmeras rodadas de revisão, a história foi finalmente concluída e pode serconferida no Apêndice B, organizada de acordo com os Passos, ou trechos, alcançados por meiodas escolhas feitas durante sua evolução.

Resumidamente, o participante acabou de chegar das Terras do Mar Prestos para o localonde a história acontece: uma cidade fictícia, chamada Privus, localizada em um país chamadoSecreta. Logo que chega na cidade, o personagem passa por um breve questionário no guichêde imigração, onde é apresentado um contexto geral sobre a cidade. A partir daí, várias opçõessão apresentadas, entre passear pela cidade, pagar contas, usar ou não serviços de localização,redes sociais, etc., ações comuns pensadas de forma que pudessem fazer sentido em uma CidadeInteligente.


6.4.2 Ferramentas

Para a criação do gamebook interativo foi desenvolvida uma aplicação Web, para facilitaro acesso e a comodidade dos participantes, além da familiaridade com as tecnologias utilizadas.

A aplicação Web foi desenvolvida em Python, usando um framework chamado Django1,em sua versão 1.6.1. Utilizou-se o Eclipse Kepler como Integrated development environment

(IDE). Para persistência, foi utilizado o PostgreSQL2. A interface foi construída usando Boots-trap3 3.2, CSS, HTML e javascript.

Como dois desenvolvedores foram envolvidos, o código foi disponibilizado via repositó-rio privado no BitBucket4, usando o sistema de controle de versão open source Git5.

Para disponibilizar a aplicação, utilizou-se a infraestrutura Amazon Web Services (AWS),com uma instância gratuita da Amazon Elastic Compute Cloud (EC2).

6.4.3 Perfil de Participação

Para participação do Estudo de Caso, discutiu-se a possibilidade de incluir pessoas dediferentes faixas etárias, com conhecimento básico de informática, o suficiente para informarsuas escolhas na história. Entretanto, ao longo do desenvolvimento, notou-se que seria necessárioum entendimento básico dos serviços que seriam fornecidos, simulados ou não, durante a história,com familiaridade suficiente para entender e decidir sua utilização, já que se tentou assemelharao máximo o nome e a proposta dos serviços do mundo real.

Com isso, entendeu-se que o melhor perfil para participar seriam pessoas envolvidas coti-dianamente com o mundo de Tecnologia da Informação, habituados aos serviços representados ediscussões abordadas neste trabalho. Sendo assim, a aplicação foi disponibilizada apenas para osestudantes de pós gradução do Centro de Informática da Universidade Federal de Pernambuco,para os colaboradores do Centro de Estudos e Sistemas Avançados do Recife e para alguns alunosdo Departamento de Computação da Universidade Federal de São Carlos, campus Sorocaba.

6.4.4 Desenvolvimento

Cada etapa da história foi separada em páginas diferentes, que eram acessadas à medidaque as opções que representavam eram escolhidas.

O estágio que possui maior expressão da proposta do Go!SIP é o Passo 2c, no qual oparticipante pode configurar o seu IPI. Durante a implementação, percebeu-se que ao invésrepresentar este índice da forma como foi originalmente descrito - com valores fixos 0 (secreto),50 (fechado) e 100 (público) - seria mais flexível e de mais fácil entendimento se a faixa de

1https://www.djangoproject.com/2http://www.postgresql.org/3http://getbootstrap.com/4https://bitbucket.org/5http://git-scm.com/

https://www.djangoproject.com/

http://www.postgresql.org/

http://getbootstrap.com/

https://bitbucket.org/

http://git-scm.com/


valores fosse contida em um intervado discreto. Decidiu-se que a melhor forma de traduzir asemântica da métrica para o participante seria a seguinte: “De 1 a 100, o quanto seus dados

. . . importam para você?”. Para facilitar a compreensão deste valor, conforme o participantedeslizava um slider escolhido para este propósito, um tooltip era exibido com uma categorizaçãotextual, conforme segue:

� [1,20[: “Não me importo”;

� [20,40[: “Quase não me importo”;

� [40,60[: “Me importo pouco”;

� [60,80[: “Me importo”;

� [80,100[: “Me importo muito”.

A definição do IPI foi feita a nível de perfil, por questões de facilidade de configuração; ovalor padrão de IPI é 100, indicando importância máxima. Considera se como perfil, um conjuntode atributos de um indivíduo, agrupados convenientemente para um determinado contexto. Naimplementação atual são considerados 6 perfis, pensados para explorar o máximo de aspectospossíveis durante o estudo, como descrito abaixo:

� Dados Pessoais, inclui nome e email do indivíduo;

� Dados Financeiros, inclui dados fictícios sobre a conta bancária do indivíduo e oslançamentos em seu cartão de crédito;

� Dados de Consumo, inclui o histórico fictício de consumo do indivíduo, como data,local de compras, o que foi comprado e qual o valor;

� Dados de Localização, inclui o histório fictício de localização do indivíduo, supos-tamente coletado em intervalos de tempo;

� Dados Médicos, inclui data de nascimento e sexo do indivíduo, bem como seuhistórico fictício de sinais vitais, como taxa respiratória, temperatura corporal epressão;

� Dados de Relacionamentos, inclui a lista de amigos do indivíduo.

A taxa de degradação (d) de dados dos atributos presentes no perfil foi definida de modofixo, não sendo exposta ao participante de forma alguma e foram estabelecidos, ora a nível deatributos (mesmo que sob uma abstração, como conta bancária, por exemplo), ora a nível deperfil. Os seguintes valores de taxas de degradação foram considerados:

� Nome e Email, d = 0, nível de atributo;


� Conta bancária, d = 3,333, variação por dia, nível de atributo;

� Cartão de crédito, d = 0.139, variação por hora, nível de atributo;

� Localização, d = 0.139, variação por hora, nível de perfil;

� Relacionamento, d = 3,333, variação por dia, nível de perfil;

� Dados médicos, d = 0,555, variação por semestre, nível de perfil;

� Dados de consumo, d = 3,333, variação por dia, nível de perfil;

O cálculo da precisão de cada um dos elementos descritos acima levou em conside-ração o tempo decorrido desde o momento que o usuário iniciou sua participação no estudo,cadastrando/autenticando-se na aplicação. Deste modo, o dado vai se depreciando, ainda quevagarosamente, durante a experiência do participante.

A cada escolha de exposição do participante, calcula-se o IE, baseado no valor atual doIPI (já que o participante pode alterar esta informação a qualquer tempo) e da precisão. Paraefeitos de histórico, registra-se o IPI e o IE de cada perfil envolvido juntamente com o contextona qual se baseia a escolha, o provedor de serviço e o timestamp da transação. Além disso, paracada passo da história é registrado qual foi a opção escolhida pelo participante.

Sempre que algum serviço é consumido o cálculo de exposição é executado, conformeexplicado, e exibido para o participante de forma visual, gráfica, textual e numericamente, comomostra a Figura B.11. Para cada perfil é exibido uma barra horizontal que varia de tamanho deacordo com o risco calculado, colorida, variando de verde - para exposição mínima - a vermelho- para exposição máxima; junto à essa barra, também é mostrado o valor bruto de exposiçãocalculado e uma categorização como segue:

� [1,20[: “Risco baixíssimo”;

� [20,40[: “Risco baixo”;

� [40,60[: “Risco médio”;

� [60,80[: “Risco alto”;

� [80,100[: “Risco altíssimo”.

Essas informações deveriam ser exibidas sempre que o usuário tivesse que fazer aaquisição de um serviço, sendo bem destacadas na tela e referenciadas no texto de descrição.Entretanto, como a ideia era verificar se métricas quantitativas faziam diferença na decisão deexposição de dados, implementou-se um mecanismo que, na primeira vez que o participanteentrava na aplicação, era determinado se ele ia ou não ter acesso ao score e às métricas; aforma como esta característica foi implementada garante que a diferença entre a quantidade


de participantes tendo acesso ou não às métricas seria de no máximo um (1), i.e., idealmenteseriam quantidades iguais. Para os participantes que não tinham acesso às metricas, nenhumareferência literal à privacidade foi feita, nem mesmo era informado que este seria o assunto sendoobservado no Estudo, nem a barra horizontal, a categorização textual ou o valor de exposição eraexibido.

Para manter o foco nas métricas, não foram oferecidos múltiplos provedores de serviço,tanto por questões de simplicidade de implementação, quanto para não interferir na percepção daexposição dos dados; quanto maior a carga cognitiva necessária para participar do experimento,menos efetivo ele seria e maior a dificuldade em convencer as pessoas a participar.

A utilização dos perfis de dados por parte dos serviços pode ser encontrada no Apên-dice B.2. Além dos serviços, algumas situações específicas também utilizam o perfil DadosFinanceiros do participante; a saber, na parte da história que descreve a compra de um carro,quando no pagamento da conta de energia e do pedido no Burger Queen.

Para registrar o impacto das ações de forma quantitativa durante o jogo, um score éexibido no canto direito da tela, apresentando os seguintes indicadores:

� Dinheiro

� Risco

� Influência

O indicador Dinheiro é registrado com uma unidade monetária fictícia (P$), inicialmenteapresenta o valor 20.000, como um benefício do governo local para o imigrante, para que seestabelecesse de modo confortável na cidade. Este valor é impactado sempre que o participantepaga algum serviço ou produto; o indicador Risco está fora do controle do participante e foiestabelecido previamente, de forma empírica e hard coded, e é um valor para indicar o quantoo usuário já se expôs ao longo da história, cujo valor incrementado depende da situação (esteíndice não representa o Índice de Exposição); o terceiro indicador que compõe o score é aInfluência, que representa a reputação virtual do participante, e é incremementada sempre quealguma interação social é realizada.

Nos serviços disponibilizados na aplicação, o impacto no score foi atribuído arbitraria-mente, conforma mostra a Tabela 6.1:

Assim como os serviços, alguns passos da históra implicam na utilização de algumasoutras funcionalidades, como pagamento, execução de alguma tarefa, fazer um tour com osamigos, também interferem no score, como mostra a Tabela 6.2.

Ao longo da história diversos formulários são apresentados. Porém, com exceção doformulário apresentado no Passo 2c (também acessado através do menu Meus Dados), todos osformulários são inertes, ou seja, nenhum deles salva ou registra os dados informados. A únicacoisa que é registrada é que o participante manifestou a intenção de fazê-lo. Isso permitiu queapenas os dados relevantes para a análise fossem persistidos.


Tabela 6.1: Impacto dos Serviços no score do participante

Serviço Risco Dinheiro (P$) InfluênciaGugou Maps +5 2,00 0Fakebook +10 0,00 +10Twistter +10 0,00 +10Check-In +5 0,00 +10Smart Meter +5 2,00 0Health Monitor +5 8,00 0Health Assist +5 0,00 0

Tabela 6.2: Impacto dos Passos no score do participante

Serviço Risco Dinheiro (P$) Influência SituaçãoPasso 4c 0 0.0 +5 Participante escolhe fazer tour com seus amigosPasso 6c +15 (76,5%) +5 Participante compra o carro e participa da pesquisaPasso 6d +10 (90%) +5 Participante compra o carro sem participar da pesquisaPasso 8b 0 0 -15 Participante se recusa a pagar a conta de energiaPasso 9a 5 150,00 0 Participante paga a conta de energia com cartãoPasso 9b 0 150,00 0 Participante paga a conta de energia com dinheiroPasso 9c 5 (Variável) 0 Participante paga a conta no Burger Queen com cartãoPasso 8b 0 (Variável) 0 Participante paga a conta no Burger Queen com dinheiro

Finalmente, em nome da ludicidade, vários recursos foram utilizados para deixar algumasexperiências dentro da história mais interessante. Notificação de serviço são exibidas a medida ousuário atinge um ponto específico de leitura e, em alguns casos, sons também foram utilizados;na etapa da história em que ocorre um problema de saúde, além da notificação, a tela ficaembaçada aleatóriamente, dando um apelo visual à situação. Para implementação desses recursosforam utilizados CSS3, HTML5 e javascript.

A Figura 6.1 apresenta uma das telas da aplicação desenvolvida, com destaque para osserviço habilitados à esquerda e o score do participante à direita. Ao centro da tela, pode-se verum dos passos da subrotina de Navegação, na qual o participante deve escolher para onde querseguir rumo ao seu objetivo, destacado na parte superior do mapa.

A aplicação ficou disponível para utilização durante duas semanas e foi divulgadaverbalmente e através de emails para o público alvo. Durante este período, as dúvidas ediscussões que iam surgindo foram anotadas a fim de fomentar a discussão dos resultados dotrabalho.


Figura 6.1: Exemplo da tela do Go!SIP

6.5. RESULTADOS 98

6.5 Resultados

Durante o período em que a aplicação esteve disponível 41 pessoas participaram, sendoque apenas 21 delas puderam visualizar seu score e tiveram acesso às métricas de exposição.A Figura 6.2 apresenta um heat map6 simples dos fluxos escolhidos pelos participantes nogamebook interativo usado para o Estudo de Caso, representando a frequência com que umcaminho foi escolhido e, em cada passo, a proporção de acesso ou não às métricas.

O número de participante ficou bem abaixo do esperado e, principalmente, a taxa deconclusão da história; do total de participantes, 63.4% chegaram a algum dos 7 finais possíveisda história - Passos 2b, 11b, 11c, 11d, 13c, 14a, 14b - sendo que desse percentual, 53.8%finalizaram no Passo 2b (neste passo, o participante se recusava a fornecer algum dado para serautorizado a entrar na cidade); aproximadamente metade desses participantes tinham acesso àsmétricas, porém, até esse ponto da história, elas não haviam sido introduzidas ou utilizadas. Estepasso é alcançado quando a pessoa se recusa a fornecer seus dados, via Facebook, LinkedIn oumanualmente.

Buscando entender o motivo do baixo percentual de conclusão da história, verificou-seos índices de desistência nos Passos, cujo resultado é mostrado na Tabela 6.3. Com exceçãodos passos iniciais - Abertura e Passo 0 - a tela de configuração de dados, com a métrica deimportância (ou IPI), foi a que apresentou maior desistência, seguida da tela de apresentação dacidade; a provável causa de desistência nessas tela pode ser a densidade da informação contida.As duas últimas posições, Passos 6a e 10b, são subrotinas de navegação, até a entrada da cidadee até um local para pagamento de contas, respectivamente; dos 11 participantes que desistiramnesta etapa, apenas 4 não tinha acesso ao mapa, deixando um questionamento em aberto sobre omotivo da desistência.

Tabela 6.3: Desistência nos passos da história

Passo ] DesistênciasAbertura 1Passo 0 3Passo 2c 4Passo 3 3Passo 6a 1Passo 10b 3

Observando o heat map observa-se que o único ponto de decisão que dividiu os partici-pantes, deixando em um trecho um grupo uniforme que não podia ver as métricas, nem o score,foi do Passo 8a para o 9a, onde o participante decide pagar sua conta de energia usando cartão.Os participantes com acesso às métricas preferiram pagar a dinheiro, o que pode indicar que asmétricas os deixaram menos a vontade para usar o pagamento a cartão. Como este foi o único

6Um heat map é uma representação gráfica de valores de uma matriz, expressos através de cores. Fonte:http://bit.ly/1niGb5L, acessado em 25/06/2014

6.5. RESULTADOS 99

ponto de uso do perfil de Dados Financeiros pelos dois grupos de participantes, nada mais pôdeser inferido neste sentido.

Voltando a atenção para a Questão de Pesquisa, replicada abaixo, a exposição de dadosno Estudo de Caso deu-se através do uso dos serviços. A Tabela 6.4 mostra a distribuição dosserviços adquiridos.

“As pessoas são mais propensas a expor dados quando apoiadas por parâme-tros quantitativos ?”

Das 15 aquisições de serviço, 11 delas foram feitas por participantes que não tinha acessoàs metricas e apenas 4 vieram de participantes que não tinham informação alguma sobre risco deexposição.

Tabela 6.4: Aquisição de serviços

Serviços ] Aquisições Perfil UtilizadoGugou Maps 8 Dados de LocalizaçãoSmart Meter 4 Dados de ConsumoHealth Monitor 2 Dados MédicosHealth Assist 1 Dados Médicos

Sobre as pessoas que usaram a tela de configuração para ajustar os IPIs de seus perfis,também se fizeram algumas verificações. Dos 41 participantes, 17 fizeram ajustes em seus perfis,demonstrando interesse em customizar a sua importância para cada um dos grupos de dados:

� 9 participantes tinham acesso às métricas, desses, apenas 4 realmente adquiriram al-gum serviço, uma taxa de conversão de 44%, justificando o propósito da configuraçãofeita;

� 8 participantes não tinham acesso às métricas, apenas 4 adquiriram algum serviço,com taxa de conversão de 50%;

A análise nos valores de IPIs mostra a ordem de importância que os participantesatribuíram aos seus perfis. Nas Figuras 6.4 e 6.3 são apresentadas as médias de IPI para osparticipantes sem acesso e com acesso às métricas, respectivamente. Deve-se lembrar que osvalores podem variar entre 1 e 100.

Como se vê, todos os participantes que configuraram seus perfis aplicaram maior impor-tância em seus Dados Financeiros, com o valor médio na faixa de valores “Me importo muito”.Curiosamente, os valores médios de importância dado ao perfil de localização foi muito próximo,independente da presença das métricas. Os Dados Pessoais, de Relacionamento e Médicos foramconsiderados mais importantes pelas pessoas que não possuíam acesso às métricas em relação àsque não tinham acesso a informação quantitativa alguma, ao contrário do que ocorreu com operfil Dados de Consumo.

6.5. RESULTADOS 100

Observando a distribuição de IPIs pode-se inferir que, quando os dados possuem umaimportância alta para o indivíduo, como é o caso dos Dados Financeiros e de Localização, apresença de um indicador quantitativo de exposição contribuiu pouco para a decisão de autorizarou não o acesso aos dados. Quando o contexto de uso era recorrente em relação à algumassituações reais, como é o caso dos Dados Pessoais e de Dados Médicos, notou-se a maiordivergência - média de 7.5% a menos - entre a importância dada por pessoas que possuiam ounão acesso às métricas.

Devido ao grau de intimidade que representam e baseado em pesquisas reais estudadasdurante o desenvolvimento deste trabalho, esperava-se que os Dados Médicos apresentassemimportância de magnitude similar aos Dados Financeiros.

Em (eur, 2011), onde se apresenta - de acordo com os autores - “o maior survey já

conduzido, considerando o comportamento dos cidadãos e suas atitudes concernentes ao geren-

ciamento de identidade, proteção de dados e privacidade”, a ordem de importância estabelecidapelos entrevistados era: Dados Financeiros > Dados Médicos > Dados Pessoais. Similarmente,em uma pesquisa realizada pelo International Institute of Communications (of Communications,2012) em vários países ao redor do mundo, as preocupações com Dados Financeiros, seguido deDados Médicos e Pessoais eram as mais recorrentes.

A forma como os serviços foram descritos no Estudo e inclusos na história pode terimpactado nestas observações, já que a importância depende da necessidade/utilidade do serviçoe do contexto como um todo, além das situações serem fictícias; ao mesmo tempo que poupa oparticipante do sentimento de culpa, ou de “fazer algo errado”, também tira a responsabilidadede agir como faria na vida real, mesmo que tenha agido de forma sincera.

O único serviço que os participantes com acesso às métricas utilizaram foi o GugouMaps, expondo seu perfil Dados de Localização, com um IE médio de 90, numa faixa de 0 a 100,considerado um índice de risco altíssimo. Já os participantes sem acesso às métricas utilizaramos seguintes serviços, com os IEs médios distribuídos conforme mostra a Tabela 6.5.

Tabela 6.5: IE médio por perfil, para participantes sem acesso às métricas

Perfil IE MédioDados Financeiros 100,00Dados de Localização 91,66Dados Pessoais 91,00

A diferença entre os serviços utilizados e os respectivos IEs sugerem que a métricabaseada na importância que o participante deu aos seus perfis, ou o inibiram de utilizar oserviço, ou o trade-off entre expor o perfil com o IE calculado e a utilidade/necessidade estavadesequilibrado, permitindo o decidir não utilizar o serviço mas, quando o fez, é por que seimaginou alguma utilidade que justificava o risco.

Ao mesmo tempo em que se puderam coletar os dados mencionados até aqui, percebeu-seque não foram visitados todos os caminhos possíveis propostos na história (ver heat map), o que

6.5. RESULTADOS 101

de certa forma comprometeu a análise pela quantidade insatisfatória de participantes. Além disso,os serviços Fakebook e Twistter não foram utilizados por nenhum participante, principalmentepor que os cenários em que eles seriam úteis não foram explorados.

Pela taxa de desistência, imagina-se que a participação se deu principalmente pelacuriosidade, pela vontade de se saber do que se trata e, considerando o número de pessoasque encerraram no Passo 2b, materializou a postura defensiva que costumamos assumir emcontextos desconhecidos, o que implica em se repensar o fluxo de decisões em um próximoexperimento/estudo, ou mesmo considerar e desenvolver a possibilidade de mudança de opçãoou a recusa de exposição, buscando entender um pouco melhor este grupo de participantes.

Apesar dos dados apresentados indicarem que o uso de métodos qualitativos para iden-tificação do risco de exposição, dentro da aplicação usada no Estudo de Caso, foi efetivo, aquantidade de pessoas que participaram foi insatisfatória, o que sugere a necessidade de uma novarodada do Estudo de Caso, ampliando a quantidade de cenários, envolvendo os demais conceitospropostos, como múltiplos provedores de serviço, níveis de proposição de valor, mecanismo decontrole e conveniência, etc., e aplicando o experimento de forma controlada para um númerorepresentativo de pessoas, por um tempo suficiente para evitar a interferência da curiosidade dosparticipantes.

Outra percepção é a necessidade de se trabalhar a confiabilidade de uso da métrica deexposição, envolvendo a experiência de manutenção da relação com o provedor de serviçose quais as consequências em caso de descontinuidade do uso do serviço. Adicionalmente, aprincípio imaginou-se que o uso de serviços e contexto já conhecidos iria suprir a explicitação devalor agregado nas situações propostas, porém, baseado na observação dos resultados notou-sea ausência de uma medida explícita de utilidade no Estudo de Caso, reforçando a necessidadeda inserção do conceito de nível de proposição de valor em experimentos/estudos futuros, nacontinuidade deste trabalho.

Paralelamente, algo que dificultou a análise dos dados coletados foi a ausência dotimestamp do momento de escolha do participante, ao ir de um passo a outro, que permitiriaanalisar se houve a intenção de ajustar a importância de um perfil de dados antes de se adquirirum serviço, com o intuito de se diminuir o risco. Ainda neste sentido, acredita-se que a noção derisco de exposição não tenha ficado bem clara, apesar de ter sido trabalhada cuidadosamente eapresentada de várias formas visuais e textual.

Contudo, não se pode ignorar que os resultados permitem vislumbrar o potencial daproposta, que precisa de um Estudo de Caso ou experimento mais complexo e elaborado, parauma visualização mais massiva de sua utilidade que permita ajustar alguns detalhes a fimde desenvolver e evoluir uma versão real e completa do framework. Porém, considerandoestritamente o Estudo realizado, a resposta da questão guia da pesquisa é que, quando apoiadaspor parâmetros quantitativos, as pessoas são menos propensas a expor os seus dados.

6.5. RESULTADOS 102

Figura 6.2: Heat map da história utilizada no Estudo de Caso

6.5. RESULTADOS 103

Figura 6.3: IPI Médio por perfil, para participantes com acesso às métricas

Figura 6.4: IPI Médio por perfil, para participantes sem acesso às métricas

6.6. AMEAÇAS À AVALIAÇÃO 104

6.6 Ameaças à avaliação

Esta seção tem por objetivo listar/reforçar alguns pontos que podem ter impactado oprocesso de validação:

� O perfil de participantes escolhidos para fazer parte do experimento - mais envolvidosna área de TICs e habituados ao serviços representados - pode ter influenciado nosresultados, sendo suas decisões tomadas baseada em seu conhecimento no mundoreal e não no contexto apresentado na história;

� Apesar do aspecto lúdico e do isolamento da realidade, o participante pode terse sentido sem a responsabilidade ou necessidade de assumir riscos (que seriamnecessários na vida real);

� A forma como as informações foram indicadas, especificamente o score, foi apontadacomo confusa por alguns participantes, incluindo a proposta de risco e exposição;

� Descobriu-se durante o período de execução do estudo que alguns participantes nãoconseguiram sair da subrotina de navegação devido a dificuldade. Pensou-se nestegrau de dificuldade como um motivo para o participante munir se de recursos (oserviço Fakebook por exemplo, que poderia ajudar neste caso), o que não ocorreu;

� O índice de desistência foi parcialmente decorrente da curiosidade de algumas pessoasque queria ver do que se tratava o gamebook interativo e não concluíram a história.A densidade de informação em algumas partes da história também contribuiu;

� A quantidade de participantes foi considerada insatisfatória, pois acredita-se que,se houvesse uma massa maior de dados, as vantagens/desvantagens e utilidade dasmétricas ficariam mais evidentes;

� O fato de nem todos os caminhos da história terem sido visitados acarretou na não[necessidade de] utilização de alguns serviços.

Finalizada a apresentação da avaliação da proposta, o capítulo a seguir vai elucidar asconclusões habilitadas por este trabalho e apontar as direções futuras para o framework proposto.

105105105

7Conclusão

I have fought the good fight,

I have finished the race,

I have kept the faith.

—2 TIMOTHY 4:7 (Holy Bible, New International Version)

No decorrer deste trabalho estudou-se a problemática decorrente da crescente populaçãourbana, as consequências negativas decorrentes e como uso de TICs pode colaborar na busca deuma solução efetiva, criando uma Cidade Inteligente.

Neste sentido, reconheceu-se a necessidade do envolvimento das pessoas na solução,usando-as como sensores vivos através de seus dispositivos móveis, a fim de se obter uma visãocontextualizada da cidade, através de dados fornecidos em tempo real, permitindo se ter maisinformações nas situações em que é necessário alguma intervenção para benefício dos cidadãos.Como resultado deste envolvimento, parte dos dados trafegados tratam-se de informações sensí-veis, de teor pessoal, que são expostos de maneira irresponsável comprometendo a privacidadedos indivíduos.

Após determinar o problema, buscou-se certificar de que as soluções de Cidades Inteli-gente propostas até o momento, tanto na academia quanto na indústria, não cobriam satisfatoria-mente o assunto privacidade. Depois disso, fez-se uma revisão sobre propostas de privacidade emum conjunto de contextos inteligentes encontrados na literatura, a fim de se agrupar os requisitosque esses trabalhos julgavam como importantes, com o propósito de se propor um framework deprivacidade para Cidades Inteligentes.

Paralelamente, se propõe uma discussão do aspecto longo prazo de privacidade, envol-vendo tecnologias e mecanismos legais, que reforçam a necessidade de uma solução adequada.

Convergindo os assuntos de CI, privacidade, requisitos e pessoas, propõe-se uma classifi-cação baseada em paradigmas centrados no usuário, em dados e em serviços, argumentando aimportância de focar a solução de gerenciamento de dados pessoais no indivíduo.

106

Finalmente se apresenta o Go!SIP, descrevendo os requisitos que compreende, e, rumo àfinalização, estreita-se o escopo de avaliação para os índices propostos no framework que podemauxiliar os indivíduos na decisão de expor ou não seus dados. Descreve-se então o Estudo deCaso utilizado para avaliar a proposta, através de um gamebook interativo, utilizando a técnicade storytelling, e os resultados obtidos de sua aplicação.

Uma vez apresentado o Go!SIP, seguem algumas conclusões, considerações e direciona-mento futuro para o trabalho.

7.1. PRINCIPAIS CONCLUSÕES 107

7.1 Principais Conclusões

Esta seção tem como objetivo enumerar as principais conclusões deste trabalho, que sãoas seguintes:

� Os mecanismos encontrados na literatura focam-se em prover privacidade a nível deserviço (PCS) ou a nível de dados (PCD), sendo o primeiro predominante na maioriados domínios estudados;

� Não é possível construir uma proposta de implementação de privacidade que atendaestritamente apenas um paradigma, já que cada um deles tem a função de cobrir umaparte específica no processo de provisão/consumo de serviços;

� A utilização das técnicas de storytelling e gamebook mostraram-se adequadas aotema da proposta, tendo uma boa recepção por parte dos participantes, apesar da taxade desistência decorrente de algumas etapas do enredo utilizado;

� Dentro dos cenários apresentados no experimento de validação do framework, asmétricas quantitativas demonstraram ter impacto na decisão de exposição de dadospessoais.

7.2. TRABALHOS RELACIONADOS 108

7.2 Trabalhos Relacionados

Dentre os trabalhos estudados, algumas propostas de índices quantitativos de privacidadeforam implementadas, adequados a cada contexto específico, que podem ser citados.

Em (Sankar et al., 2013) é proposto um mecanimo de quantificação do trade-off entre autilidade e quantidade (utilidade-privacidade) do dado exposto. O modelo é aplicado à mediçãode consumo de energia elétrica de eletrodomésticos.

O cálculo da relação utilidade-privacidade inicia-se com a leitura do consumo de energiados equipamentos domésticos, que serve de entrada para uma função de transferência queobscurece os dados de consumo medido para um conjunto de valores de saída. Um modelo deinferência é construído paralelamente para gerar correlações de hábitos de consumo, a partir dosdados mensurados. O cálculo de privacidade é obtido através de um conceito proposto dentrode Teoria da Informação, chamado Informação Mútua, mensurando o quanto se pode conseguirde informação sobre os dados de consumo coletados a partir dos dados gerados por inferência.O cálculo de utilidade é feito através de uma Função Abstrata de Utilidade, que categoriza osdados de consumo obscurecidos de acordo com sua probabilidade de ocorrência em relação aosdados inferidos, utilizando a distância Euclidiana.

O modelo de sensibilidade proposto está altamente acoplado ao contexto de Smart Grids.Se portado para o ambiente de Cidades Inteligentes, esta poderia ser uma solução de privacidadeauxiliar muito interessante para ser aplicada, porém, não seria efetiva quando considerada aexposição de dados que, apesar de ter seus valores alterados temporalmente (devido ao métodoimpreciso de medição, ou mesmo alteração decorrente da depreciação do dado), não caracterizampadrões ou hábitos de consumo.

Em (Boyer et al., 2006), na qual se propõe um framework de privacidade para dadosde localização in-place, os usuário podem, além de especificar quem pode ter acesso a seusdados de localização, limitar a precisão com que essa informação é divulgada, diminuindo asensibilidade do dado exposta e, consequentemente, diminuido o grau de exposição.

Em (Moncrieff et al., 2008) a sensibilidade do dado determina o nível de privacidade aser aplicado. Para definir quão privado tal dado precisa ser, utiliza-se uma abordagem baseadaem regras predefinidas, cuja saída é enviada para um filtro de dados, responsável por refletiro grau de privacidade calculado, usando técnicas de ocultação ou obscurecimento. Como ospróprios autores afirmam, o framework proposto possui limitações com relação à escalabilidadede contexto na gestão de múltiplas situações, com características dinâmicas, exatamente o tipode cenário esperado para um ambiente urbano.

Oyomno et al. (Oyomno et al., 2011), que trata de privacidade em serviços personalizadosprovidos dentro de espaços inteligentes, estabelece o nível de privacidade baseado em umaclassificação predeterminado de que tipo de informação pessoal será exposto e como o serviço irámanipular tal informação, conforme especificado em sua política. O indivíduo deve definir suaspróprias políticas de exposição de suas informações, porém, como a classificação é determinada

7.2. TRABALHOS RELACIONADOS 109

por uma autoridade competente, pode estar desalinhada com a expectativa do indivíduo; alémdisso, o que se entende do trabalho é que o uso do serviço está condicionado à definição de umapolítica aplicável, o que pode engessar o usufruto de serviços em espaços inteligentes.

O trabalhos reportado em (Salehie et al., 2012) apenas menciona que usa algum tipo decálculo de sensibilidade, invasão ou exposição de dados, mas não descreve sua implementação.

Ao observar estas propostas, vê-se que as soluções são extremamente focadas no domínioem que foram propostas. A ideia de índices quantitativos utilizada neste trabalho é uma com-posição de partes de soluções para diversos contextos inteligentes, o que permite que seja maisfacilmente adequada a outros contextos, mesmo que em carater parcial ou auxiliar, englobandoinformações de teor pessoal tratadas isoladamente em cada uma dessas propostas.

7.3. TRABALHOS FUTUROS 110

7.3 Trabalhos Futuros

Consideram-se como trabalhos como trabalhos futuros da proposta aqui apresentada:

� Inclusão do Go!SIP na arquitetura de CI baseada em Internet da Coisas, proposta noprojeto de Mestrado entitulado “Uma arquitetura para Cidades Inteligentes baseada

na Internet das Coisas”, do MSc. Gustavo Henrique Rodrigues Pinto Tomas;

� Construção de um mecanismo de conveniência e controle, usando uma abordagemcognitiva, que possa ajustar os níveis de privacidade de forma autônoma, baseada nasações históricas do usuário;

� Construção e validação de uma arquitetura para provisão de privacidade que satisfaçaos requisitos do framework apresentado neste trabalho;

� Evolução dos Índices apresentados para levarem em conta, além do tempo, o contexto(como local, tipo do atributo, etc.) no qual determinado atributo é empregado;

� Desenvolvimento de um modelo de maturidade de privacidade para CIs, baseado naimplementação progressiva dos requisitos propostos no Go!SIP.

7.4. CONSIDERAÇÕES FINAIS 111

7.4 Considerações Finais

A utilização de pessoas como sensores na criação das tão faladas Cidades Inteligentesapresenta-se como uma abordagem vantajosa, tanto do ponto de vista social e econômico, quantodo ponto de vista tecnológico. Entretanto, esse envolvimento levanta uma série de preocupaçõesem relação à manutenção da privacidade e traz a tona uma preocupação que parecia tácita (ouinexistente) até o presente momento, sobre o efeito longo prazo de manutenção de privacidade.

A necessidade de novas formas de manutenção de dados pessoais é iminente, nas quaisas pessoas sejam engajadas e não fiquem à mercê de jargões ou conceitos tecnológicos, emplena concordância com mecanismos legais cabíveis, estimulando provedores de serviços atrabalharem seus modelos de negócios de forma a priorizar a transparência e o equilíbrio deinteresses com seus consumidores.

Com esta finalidade, o trabalho descrito nesta dissertação apresentou o Go!SIP, umframework para manutenção de dados pessoais, voltado para criação de um meio adequado deprovisão de privacidade dentro do contexto de CI, no qual as pessoas - os cidadãos - sintam-seengajadas, no controle, providos de informação suficiente para tomar decisões conscientes deexposição de seus dados, em qualquer extensão e, mais que isso, assumam sua posição de agentesde mudança no processo de smartening de sua cidade.

112112112

Referências

(2011). Attitudes on Data Protection and Electronic Identity in the European Union.

Afonso, R. A., da Silva, W. M., Tomas, G. H., Gama, K., Oliveira, A., Alvaro, A., and Garcia,V. C. (2013). Br-SCMM: Modelo Brasileiro de Maturidade para Cidades Inteligentes.Anais do IX Simpósio Brasileiro de Sistemas de Informação (SBSI), Trilha Especial - SI e osDesafios do Mundo Aberto.

Al-Hader, M., Rodzi, A., Sharif, A., and Ahmad, N. (2009). Smart City ComponentsArchitecture. In Computational Intelligence, Modelling and Simulation, pages 93–97.

Andreini, F., Crisciani, F., Cicconetti, C., and Mambrini, R. (2011). A scalable architecture forgeo-localized service access in smart cities. In Future Network & Mobile Summit(FutureNetw), 2011, pages 1–8. IEEE.

Anthopoulos, L. and Fitsilis, P. (2010). From digital to ubiquitous cities: Defining acommon architecture for urban development. In Intelligent Environments (IE), 2010 SixthInternational Conference on, pages 301–306. IEEE.

Asimakopoulou, E. and Bessis, N. (2011). Buildings and crowds: Forming smart cities formore effective disaster management. In Innovative Mobile and Internet Services inUbiquitous Computing (IMIS), 2011 Fifth International Conference on, pages 229–234. IEEE.

Assembly, U. G. (1948). Universal declaration of human rights. Retrieved February, 22,2010.

Attwood, A., Merabti, M., Fergus, P., and Abuelmaatti, O. (2011). SCCIR: Smart CitiesCritical Infrastructure Response Framework. In Developments in E-systems Engineering(DeSE), 2011, pages 460–464. IEEE.

Atzori, L., Iera, A., and Morabito, G. (’2010’). The Internet of Things: A survey. Comput.Netw., 54(15), 2787–2805.

Bagües, S. A., Zeidler, A., Valdivielso, C. F., and Matias, I. R. (2007). Sentry@home-leveraging the smart home for privacy in pervasive computing. InternationalJournal of Smart Home, 1(2), 129–146.

Balakrishna, C. (2012). Enabling Technologies for Smart City Services and Applications.In Next Generation Mobile Applications, Services and Technologies (NGMAST), 2012 6thInternational Conference on, pages 223–227. IEEE.

Banisar, D. and Davies, S. (1999). Privacy and human rights: an international survey ofprivacy laws and practice. Global Internet Liberty Campaign.

Bauer, A., Emter, T., Vagts, H., and Beyerer, J. (2009). Object oriented world model forsurveillance systems. In Future Security: 4th Security Research Conference, pages 339–345.Fraunhofer Verlag.

Baxter, P. and Jack, S. (2008). Qualitative case study methodology: Study design andimplementation for novice researchers. The qualitative report, 13(4), 544–559.

REFERÊNCIAS 113

Bird, S. J. (2013). Security and Privacy: Why Privacy Matters. Science and engineeringethics, pages 1–3.

Blackstock, M., Kaviani, N., Lea, R., and Friday, A. (2010). MAGIC Broker 2: An open andextensible platform for the Internet of Things. In Internet of Things (IOT), 2010, pages 1–8.

Bohli, J.-M., Sorge, C., and Ugus, O. (2010). A privacy model for smart metering. InCommunications Workshops (ICC), 2010 IEEE International Conference on, pages 1–5. IEEE.

Borges, J. L. (1941). An Examination of the Work of Herbert Quain. Ficciones, pages73–78.

Bowerman, B., Braverman, J., Taylor, J., Todosow, H., and von Wimmersperg, U. (2000). Thevision of a smart city. In 2nd International Life Extension Technology Workshop, Paris.

Boyer, J. P., Tan, K., and Gunter, C. A. (2006). Privacy sensitive location informationsystems in smart buildings. In Security in Pervasive Computing, pages 149–164. Springer.

Bünnig, C. (2009). Smart privacy management in ubiquitous computing environments. InHuman Interface and the Management of Information. Information and Interaction, pages131–139. Springer.

Busnel, P., El-Khoury, P., Giroux, S., and Li, K. (2008). Achieving socio-technicalconfidentiality using security pattern in smart homes. In Future Generation Communicationand Networking, 2008. FGCN’08. Second International Conference on, volume 2, pages447–452. IEEE.

Campbell, A. T., Eisenman, S. B., Lane, N. D., Miluzzo, E., and Peterson, R. A. (2006).People-centric urban sensing. In Proceedings of the 2nd annual international workshop onWireless internet, page 18. ACM.

Chaum, D. L. (1981). Untraceable electronic mail, return addresses, and digitalpseudonyms. Communications of the ACM, 24(2), 84–90.

Chen, L., Ali Babar, M., and Ali, N. (2009). Variability management in software productlines: a systematic review. In Proceedings of the 13th International Software Product LineConference, pages 81–90. Carnegie Mellon University.

Cheung, J. C. L., Chim, T. W., Yiu, S.-M., Hui, L. C., and Li, V. O. (2011). Credential-basedprivacy-preserving power request scheme for smart grid network. In GlobalTelecommunications Conference (GLOBECOM 2011), 2011 IEEE, pages 1–5. IEEE.

Chillon, P. S. (2012). If (Urban) Life is a game, (Smart) Cities are the Playgrounds.Gamification, civic rewards and crowd sourcing strategies for connected and savvy cities.http://urban360.me/. "[Online] Available: 24-August-2012".

Chim, T., Yiu, S., Hui, L. C., and Li, V. O. (2011). PASS: Privacy-preserving authenticationscheme for smart grid network. In Smart Grid Communications (SmartGridComm), 2011IEEE International Conference on, pages 196–201. IEEE.

Cho, Y., Cho, S., Choi, D., Jin, S., Chung, K., and Park, C. (2004). A location privacyprotection mechanism for smart space. In Information Security Applications, volume 2908,pages 162–173. Springer.

http://urban360.me/

REFERÊNCIAS 114

Chui, M., Brown, B., Bughin, J., Dobbs, R., Roxburgh, C., and Manyika, A. H. B. J. (2011). BigData: The next frontier for innovation, competition, and productivity. Technical report,McKinsey Global Institute.

Commission, F. T. et al. (2007). Fair information practice principles. "[Online] Available:01-Maio-2014".

Computer Security Division, I. T. L. N. (2013). Security and Privacy Controls for FederalInformation Systems and Organizations. NIST Special Publication 800-53, Revision 4.

Crowder, N. A. (1958). Arithmetic of Computers. An Introduction to Binary and OctalMathematics. A Tutor Text, 1958, pp. i-iv and 1-18.

da República Casa Civil Subchefia para Assuntos Jurídicos, P. (1984). Lei nº 7.232, de 29 deOutubro de 1984. Brasil.

da República Casa Civil Subchefia para Assuntos Jurídicos, P. (1997). LEI Nº 9.472, DE 16DE JULHO DE 1997. Brasil.

da Silva, W. M., Alvaro, A., Tomas, G. H., Afonso, R. A., Dias, K. L., and Garcia, V. C. (2013).Smart cities software architectures: a survey. In Proceedings of the 28th Annual ACMSymposium on Applied Computing, pages 1722–1727. ACM.

Derudder, B. (2011). International handbook of globalization and world cities. Edward ElgarPublishing.

Diallo, A. (2013). Google Remembers Where You Were. http://glo.bo/1kt0RFA."[Online] Available: 30-March-2014".

Dirks, S. and Keeling, M. (2009). A vision of smarter cities: How cities can lead the wayinto a prosperous and sustainable future. IBM Institute for Business Value. June.

Efthymiou, C. and Kalogridis, G. (2010). Smart grid privacy via anonymization of smartmetering data. In Smart Grid Communications (SmartGridComm), 2010 First IEEEInternational Conference on, pages 238–243. IEEE.

Eisner, W. (2005). Narrativas Gráficas. Prazeres, Mauro M. dos, 1ª edition.

Eisner, W. (2008). Narrativas gráficas: princípios e práticas da lenda dos quadrinhos. Devir.

European Comission, D.-G. f. J. (2012). How does the data protection reform strengthencitizens’ rights? "[Online] Available: 01-Maio-2014".

Filipponi, L., Vitaletti, A., Landi, G., Memeo, V., Laura, G., and Pucci, P. (2010). Smart city:An event driven architecture for monitoring public spaces with heterogeneous sensors. InSensor Technologies and Applications (SENSORCOMM), 2010 Fourth International Conferenceon, pages 281–286. IEEE.

Fischetti, M. (2011). The Smartest Cities Will Use People as Their Sensors.http://bit.ly/PabVWb. "[Online] Available: 16-August-2012".

Forum, W. E. (2013). Unlocking the Value of Personal Data: From Collection to Usage.Technical report, World Economic Forum, in collaboration with The Boston Consulting Group,Geneva.

http://glo.bo/1kt0RFA

http://bit.ly/PabVWb

REFERÊNCIAS 115

FutureSight (2012). GSMA Research into mobile users’ privacy attitudes: Key findingsfrom Brazil. http://bit.ly/1frUVGm. "[Online] Available: 23-April-2014".

Gamebooks.org (2002). Frequently Asked Questions. "[Online] Available: 18-Maio-2014".

Ganti, R. K., Ye, F., and Lei, H. (2011). Mobile crowdsensing: current state and futurechallenges. Communications Magazine, IEEE, 49(11), 32–39.

Gehl, J. (2010). Cities for people. Island Press.

Gil-Castineira, F., Costa-Montenegro, E., Gonzalez-Castano, F. J., López-Bravo, C., Ojala, T.,and Bose, R. (2011). Experiences inside the ubiquitous oulu smart city. Computer, 44(6),48–55.

Gong, S. and Li, H. (2011). Anybody home? Keeping user presence privacy for advancedmetering in future smart grid. In GLOBECOM Workshops (GC Wkshps), 2011 IEEE, pages1211–1215. IEEE.

Greenfield, A. (2013). Against the Smart City. Parte do livro The City is Here for You to UseIt.

Guennoun, M. and El-Khatib, K. (2009). Securing medical data in smart homes. In MedicalMeasurements and Applications, 2009. MeMeA 2009. IEEE International Workshop on, pages104–107. IEEE.

Hall, N. (2012). Are There Really More Mobile Phones Than Toothbrushes?http://bit.ly/RInZMi. "[Online] Available: 1-August-2012".

Haubensak, O. (2011). Smart Cities and Internet of Things. Business Aspects of the Internetof Things, page 33.

Heinroth, T. and Minker, W., editors (2011). Next Generation Intelligent Environments:Ambient Adaptive Systems. Springer, Boston (USA).

Hermann, F., Blach, R., Janssen, D., Klein, T., Schuller, A., and Spath, D. (2009). Challengesfor user centered smart environments. In Human-Computer Interaction. Ambient, Ubiquitousand Intelligent Interaction, pages 407–415. Springer.

Hernández-Muñoz, J. M., Vercher, J. B., Muñoz, L., Galache, J. A., Presser, M., Gómez, L.A. H., and Pettersson, J. (2011). Smart cities at the forefront of the future internet. In Thefuture internet, pages 447–462. Springer.

IBM (2012). IBM Smarter Healthcare. http://ibm.co/bCJpHX. "[Online] Available:19-November-2012".

Ishida, T. (2002). Digital city kyoto. Communications of the ACM, 45(7), 76–81.

Kalogridis, G., Efthymiou, C., Denic, S. Z., Lewis, T. A., and Cepeda, R. (2010). Privacy forsmart meters: Towards undetectable appliance load signatures. In Smart GridCommunications (SmartGridComm), 2010 First IEEE International Conference on, pages232–237. IEEE.

http://bit.ly/1frUVGm

http://bit.ly/RInZMi

REFERÊNCIAS 116

Kapadia, A., Kotz, D., and Triandopoulos, N. (2009). Opportunistic sensing: Securitychallenges for the new paradigm. In Communication Systems and Networks and Workshops,2009. COMSNETS 2009. First International, pages 1–10. IEEE.

Keele, S. (2007). Guidelines for performing Systematic Literature Reviews in SoftwareEngineering. Technical report, EBSE Technical Report EBSE-2007-01.

Khurum, M. and Gorschek, T. (2009). A systematic review of domain analysis solutions forproduct lines. Journal of Systems and Software, 82(12), 1982–2003.

Kistler, F., Sollfrank, D., Bee, N., and André, E. (2011). Full body gestures enhancing a gamebook for interactive story telling. In Interactive storytelling, pages 207–218. Springer.

Kitchenham, B., Pickard, L., and Pfleeger, S. L. (1995). Case studies for method and toolevaluation. IEEE software, 12(4), 52–62.

Kite, V. (2014). Urbanization and the evolution of cities across 10,000 years. "[Online]Available: 01-Maio-2014".

Klein, C. and Kaefer, G. (????). From smart homes to smart cities: Opportunities and challengesfrom an industrial perspective.

Komninos, N. and Sefertzi, E. (2009). Intelligent cities: R&D offshoring, Web 2.0 productdevelopment and globalization of innovation systems. Second Knowledge Cities Summit.

Könings, B., Schaub, F., Weber, M., and Kargl, F. (2010). Towards territorial privacy insmart environments. In AAAI Spring Symposium: Intelligent Information PrivacyManagement.

Krontiris, I. and Dimitriou, T. (2013). Privacy-respecting discovery of data providers incrowd-sensing applications. In Distributed Computing in Sensor Systems (DCOSS), 2013IEEE International Conference on, pages 249–257. IEEE.

Laney, D. (2001). 3D data management: Controlling data volume, velocity and variety.META Group Research Note, 6.

Lee, J., Baik, S., and Lee, C. (2011). Building an integrated service management platformfor ubiquitous cities. Computer, 44(6), 56–63.

Li, X., Xu, G., and Li, L. (2008). RFID based smart home architecture for improving lives.In Anti-counterfeiting, Security and Identification, 2008. ASID 2008. 2nd InternationalConference on, pages 440–443. IEEE.

Liampotis, N., Roussaki, I., Papadopoulou, E., Abu-Shaaban, Y., Williams, M. H., Taylor, N. K.,McBurney, S., and Dolinar, K. (2009). A privacy framework for personal self-improvingsmart spaces. In Computational Science and Engineering, 2009. CSE’09. InternationalConference on, volume 3, pages 444–449. IEEE.

Lioudakis, G. V., Koutsoloukas, E. A., Dellas, N. L., Tselikas, N., Kapellaki, S., Prezerakos,G. N., Kaklamani, D. I., and Venieris, I. S. (2007). A middleware architecture for privacyprotection. Computer Networks, 51(16), 4679–4696.

REFERÊNCIAS 117

Lioudakis, G. V., Kaklamani, D. I., and Venieris, I. S. (2009). Personal data protection underthe InfoCity lights. In Wireless Technology Conference, 2009. EuWIT 2009. European, pages104–107. IEEE.

LUO, J. (2004). The security and privacy of smart vehicles. IEEE Security & Privacy.

Lupiana, D., Mtenzi, F., O’Driscoll, C., and O’Shea, B. (2010). Strictly alphanumeric data:Improving privacy in smart environments. In Internet Technology and Secured Transactions(ICITST), 2010 International Conference for, pages 1–3. IEEE.

Ma, H., Zhao, D., and Yuan, P. (2014). Opportunities in mobile crowd sensing.Communications Magazine, IEEE, 52(8), 29–35.

Maisonnasse, J., Gourier, N., Brdiczka, O., Reignier, P., and Crowley, J. L. (2006). Detectingprivacy in attention aware system. In Intelligent Environments, 2006. IE 06. 2nd IETInternational Conference on, volume 2, pages 231–239. IET.

Malek, J. A. (2009). Informative global community development index of informativesmart city. In Proceedings of the 8th WSEAS International Conference on Education andEducational Technology, pages 17–19.

Marmol, F. G., Sorge, C., Ugus, O., and Pérez, G. M. (2012). Do not snoop my habits:preserving privacy in the smart grid. Communications Magazine, IEEE, 50(5), 166–172.

Meira, S. (2014). Definindo Big Data. "[Online] Available: 28-Abril-2014".

Miles, M. B. and Huberman, A. M. (1994). Qualitative data analysis: An expandedsourcebook. Sage.

Milne, J. (1999). Questionnaires: advantages and disadvantages. Learning TechnologyDissemination Initiative.

Mitchell, C., Mitchell, C., and Mitchell, C. (2005). Trusted computing. Springer.

Moncrieff, S., Venkatesh, S., and West, G. (2008). Dynamic privacy assessment in a smarthouse environment using multimodal sensing. ACM Transactions on Multimedia Computing,Communications, and Applications (TOMCCAP), 5(2), 10.

Montagna, J. A. (2014). The Industrial Revolution. "Yale-New Haven Teachers Institute,[Online] Available: 01-Maio-2014".

Mostashari, A., Arnold, F., Maurer, M., and Wade, J. (2011). Citizens as sensors: Thecognitive city paradigm. In Emerging Technologies for a Smarter World (CEWIT), 2011 8thInternational Conference & Expo on, pages 1–5. IEEE.

Mouratidis, H. and Giorgini, P. (2007). Integrating security and software engineering:advances and future visions. IGI Global.

Nacional, C. (2014). Projeto de Lei nº 21, de 2014 (Marco Civil). Brasil.

Nam, T. and Pardo, T. A. (2011). Conceptualizing smart city with dimensions of technology,people, and institutions. In Proceedings of the 12th Annual International Digital GovernmentResearch Conference: Digital Government Innovation in Challenging Times, pages 282–291.ACM.

REFERÊNCIAS 118

Nandakumar, V., Prathapaneni, N. K., Rajamani, N., and Subramaniam, L. V. (2013).Information gathering via crowd-sensing. US Patent App. 13/755,767.

Narayanan, A. and Shmatikov, V. (2008). Robust de-anonymization of large sparse datasets.In Security and Privacy, 2008. SP 2008. IEEE Symposium on, pages 111–125. IEEE.

of Communications, I. I. (2012). Personal Data Management: The User’s Perspective.Technical report, International Institute of Communications.

of Standarts, N. I. and Technology (2010). Guidelines for Smart Grid Cyber Security.Technical Report Privacy and the Smart Grid, The Smart Grid Interoperability Panel – CyberSecurity Working Group, NIST.

of State Freedom of Information Act (FOIA), U. D. (1974). The Privacy Act.

Ohm, P. (2010). Broken promises of privacy: Responding to the surprising failure ofanonymization. UCLA Law Review, 57(6).

Oyomno, W., Japinen, P., and Kerttula, E. (2011). Privacy preservation for personalisedservices in smart spaces. In Internet Communications (BCFIC Riga), 2011 Baltic Congress onFuture, pages 181–189. IEEE.

Pan, J.-G., Lin, Y.-F., Chuang, S.-Y., and Kao, Y.-C. (2011). From governance toservice-smart city evaluations in Taiwan. In Service Sciences (IJCSS), 2011 InternationalJoint Conference on, pages 334–337. IEEE.

Paulos, E. (2009). Designing for doubt citizen science and the challenge of change. In inEngaging Data: First International Forum on the Application and Management of PersonalElectronic Information. 2009: MIT . Citeseer.

Pekala, R. (1991). US Department of Energy. US Patent 4,997,804.

Pincus, W. (2013). Many cameras, little privacy. http://wapo.st/1g5WRDH. "[Online]Available: 30-March-2014".

PlanIT, L. (2012). Cities in the Cloud, A Living PlanIT Introduction to Future CityTechnologies. In Living PlanIT . Living PlanIT.

Plumb, D., Leverman, A., and McGray, R. (2007). The learning city in a ’planet of slums’.Studies in Continuing Education, 29(1), 37–50.

Publishing, O. and OECD. Publishing (2002). OECD Guidelines on the Protection of Privacyand Transborder Flows of Personal Data. Organisation for Economic Co-operation andDevelopment.

Ratti, C. and Nabian, N. (2010). The City to Come. Innovation: Perspectives for the 21stCentury, BBVA.

Ratti, C. and Townsendn, A. (2011). Harnessing Residents’ Electronic Devices Will YieldTruly Smart Cities. http://bit.ly/17Yb2wR. "[Online] Available:27-November-2013".

Reader, J. (2004). Cities. Grove Press.

http://wapo.st/1g5WRDH

http://bit.ly/17Yb2wR

REFERÊNCIAS 119

Reding, V. (2012). The EU Data Protection Reform 2012: Making Europe the StandardSetter for Modern Data Protection Rules in the Digital Age. In Innovation ConferenceDigital, Life, Design Munich, volume 22.

Roduner, C. (2003). Citizen Controlled Data Protection in a Smart World.

Rubinstein, I. S. (2013). Big Data: The End of Privacy or a New Beginning? InternationalData Privacy Law Advance Access. Public Law & Legal Theory Research Paper Series WorkingPaper Nº 12-56, "[Online] Available: 30-March-2014".

Salehie, M., Pasquale, L., Omoronyia, I., and Nuseibeh, B. (2012). Adaptive security andprivacy in smart grids: A software engineering vision. In Software Engineering for theSmart Grid (SE4SG), 2012 International Workshop on, pages 46–49. IEEE.

Sanchez, L., Galache, J. A., Gutierrez, V., Hernandez, J., Bernat, J., Gluhak, A., and Garcia, T.(2011). SmartSantander: The meeting point between Future Internet research andexperimentation and the smart cities. In Future Network & Mobile Summit (FutureNetw),2011, pages 1–8. IEEE.

Sankar, L., Rajagopalan, S. R., Mohajer, S., and Poor, H. V. (2013). Smart meter privacy: Atheoretical framework. Smart Grid, IEEE Transactions on, 4(2), 837–846.

Searls, D. (2012). The Intention Economy: When Customers Take Charge. Harvard BusinessPress.

Seligman, F. (2014). Marco Civil: a força das operadoras de telefonia por trás da disputapolítica. "[Online] Available: 01-Maio-2014".

Senado, D. (1988). Constituição da República Federativa do Brasil de 1988. Brasil.

Sentupta, S. (2013). Privacy Fears Grow as Cities Increase Surveillance.http://nyti.ms/1eOwFBm. "[Online] Available: 30-March-2014".

SETIS (2012). Strategic Energy Technologies Information System. http://bit.ly/TaNU41."[Online] Available: 19-November-2012".

Siddiqui, F., Zeadally, S., Alcaraz, C., and Galvao, S. (2012). Smart grid privacy: Issues andsolutions. In Computer Communications and Networks (ICCCN), 2012 21st InternationalConference on, pages 1–5. IEEE.

Simo Fhom, H., Kuntze, N., Rudolph, C., Cupelli, M., Liu, J., and Monti, A. (2010). Auser-centric privacy manager for future energy systems. In Power System Technology(POWERCON), 2010 International Conference on, pages 1–7. IEEE.

Sperber, D., Wilson, D., He, Z. ·., and Ran, Y. ·. (1986). Relevance: Communication andcognition.

Stake, R. E. (1995). The art of case study research. Sage.

Stone, G. R. (2013). The Boston Bombing, The Right of Privacy and SurveillanceCameras. http://huff.to/1eYGjww. "[Online] Available: 30-March-2014".

http://nyti.ms/1eOwFBm

http://huff.to/1eYGjww

REFERÊNCIAS 120

Suomalainen, J. and Hyttinen, P. (2011). Security Solutions for Smart Spaces. InApplications and the Internet (SAINT), 2011 IEEE/IPSJ 11th International Symposium on, pages297–302. IEEE.

Sweden, V. (2009). The Fun Theory. http://bit.ly/Qbf7CD. "[Online] Available:8-July-2012".

Swire, P. and Lagos, Y. (2013). Why the right to data portability likely reduces consumerwelfare: Antitrust and privacy critique. Maryland Law Review, 72(2).

Tene, O. and Polonetsky, J. (2012). Big Data for All: Privacy and User Control in the Ageof Analytics. Northwestern Journal of Technology and Intellectual Property, (239).

The World Bank (2013). Urban Population. http://bit.ly/17OWbio. "[Online]Available: 25-October-2012".

Townsend, D., Knoefel, F., and Goubran, R. (2011). Privacy versus autonomy: A tradeoffmodel for smart home monitoring technologies. In Engineering in Medicine and BiologySociety, EMBC, 2011 Annual International Conference of the IEEE, pages 4749–4752. IEEE.

United Nations (2007). World Urbanization Prospects: The 2006 Revision. Technical report,Department of Economic and Social Affairs, Population Division.

United Nations (2011). World Urbanization Prospects: The 2011 Revision. Technical report,Department of Economic and Social Affairs, Population Division.

United Nations (2014). World Urbanization Prospects: The 2014 Revision, Highlights.Technical report, Department of Economic and Social Affairs, Population Division.

Vagts, H., Bauer, A., Emter, T., and Beyerer, J. (2009). Privacy enforcement in surveillancesystems. In Future security: 4th Security Research Conference.

Van Heerde, H., Anciaux, N., Feng, L., and Apers, P. M. (2006). Balancing smartness andprivacy for the Ambient Intelligence. In Smart Sensing and Context, pages 255–258.Springer.

Ventura, F. (2014). Marco Civil da internet é sancionado por Dilma e começa a valer em60 dias. "[Online] Available: 01-Maio-2014".

Walravens, N. (2011). The city as a platform. In Intelligence in Next Generation Networks(ICIN), 2011 15th International Conference on, pages 283–288. IEEE.

Weiser, M., Gold, R., and Brown, J. S. (1999). The origins of ubiquitous computing researchat PARC in the late 1980s. IBM systems journal, 38(4), 693–696.

Westin, A. A. F. (1968). Privacy and freedom. Washington and Lee Law Review, 25(1), 166.

Winpenny, J. (2008). The United Nations World Water Assessment Programme: Investingin information, knowledge and monitoring. Technical report, United Nations Educational,Scientific and Cultural Organization.

Yin, R. K. (2014). Case study research: Design and methods. Sage publications.

Zygiaris, S. (2013). Smart City Reference Model: Assisting Planners to Conceptualize theBuilding of Smart City Innovation Ecosystems. Journal of the knowledge economy, 4(2),217–231.

http://bit.ly/Qbf7CD

http://bit.ly/17OWbio

121121121

Apêndice

122122122

ARevisão Sistemática

Tabela A.1: Motores e termos de busca utilizados na Questão de Pesquisa 1

Motor de busca Termos de busca da Questão 1ACM (((Abstract:smart OR (Abstract:smart AND (Abstract:city OR Abs-

tract:cities))) AND (Abstract:privacy OR (Abstract:privacy AND(Abstract:framework OR Abstract:architecture)))))

CITESEERX (((abstract:smart OR (abstract:smart AND (abstract:city OR abs-tract:cities))) AND (abstract:privacy OR (abstract:privacy AND(abstract:framework OR abstract:architecture)))))

IEEE (((smart OR (smart AND (city OR cities))) AND (privacy OR(privacy AND (framework OR architecture)))))

ScienceDirect TITLE-ABS-KEY(smart OR "smart city"OR "smart cities") ANDTITLE-ABS-KEY(privacy OR "privacy framework"OR "privacyarchitecture")

Scopus TITLE-ABS-KEY(smart OR "smart city"OR "smart cities") ANDTITLE-ABS-KEY(privacy OR "privacy framework"OR "privacyarchitecture") AND (LIMIT-TO(SUBJAREA, "COMP"))

SpringerLink (smart OR "smart city"OR "smart cities") AND TITLE-ABS-KEY(privacy OR "privacy framework"OR "privacy architecture")

WIPO (Patentes) (((smart OR (smart AND (city OR cities))) AND (privacy OR(privacy AND (framework OR architecture)))))

123

Tabela A.2: Motores e termos de busca utilizados na Questão de Pesquisa 2

Motor de busca Termos de busca da Questão 2ACM (Abstract:"smart city"OR Abstract:"smart cities") AND (Abs-

tract:architecture) AND (Abstract:privacy OR Abstract:"privacymanagement")

CITESEERX (abstract:("smart city") OR abstract("smart cities")) AND abs-tract:architecture AND (abstract:privacy OR abstract:"privacy ma-nagement")

IEEE (("smart city"OR "smart cities") AND architecture AND (privacyOR "privacy management"))

ScienceDirect TITLE-ABS-KEY("smart city"OR "smart cities") AND TITLE-ABS-KEY(architecture) AND TITLE-ABS-KEY(privacy OR "pri-vacy management")

Scopus TITLE-ABS-KEY(smart OR "smart city"OR "smart cities") ANDTITLE-ABS-KEY(architecture) AND TITLE-ABS-KEY(privacyOR "privacy management") AND (LIMIT-TO(SUBJAREA,"COMP"))

SpringerLink (("smart city"or "smart cities") and architecture and (privacy or"privacy management"))

WIPO (Patentes) (architecture and (privacy or "privacy management"))

Tabela A.3: Data de execução das buscas

Motor de busca Q1 Q2ACM 11/10/2012 12/10/2012CITESEERX 12/10/2012 12/10/2012IEEE 09/10/2012 12/10/2012ScienceDirect 12/10/2012 12/10/2012Scopus 12/10/2012 12/10/2012SpringerLink 16/10/2012 12/10/2012WIPO (Patentes) 21/10/2012 21/10/2012

124124124

BGo!SIP, a história

B.1 Enredo

(Início - Apresentação)“ O que antes era privado, agora é público,

O que antes era difícil de copiar, agora é trivial para duplicar,

O que antes era facilmente esquecido, agora é armazenado para sempre. ”Ron Rivest - Reversal of defaults

Opção 1: Iniciar a aventura - Vai para o Passo 0

B.1.1 (Passo 0)

Seu voo acaba de pousar em Privus.Você olha para fora, o céu azul, os arranha-céus, a paisagem urbana e suspira... É a

oportunidade que você queria de começar uma nova vida por aqui, independente do que tenhaacontecido antes.

Você pega sua bagagem de mão e aguarda sua vez de desembarcar, até que um senhor deaparência jovial acena para que você possa assumir seu lugar na fila.

No corredor estreito da aeronave você olha várias pessoas, conterrâneos, e se questionase estão aqui com as mesmas expectativas que você. Mentalmente você deseja a todas elas muitasorte no recomeço.

Finalmente é sua vez de sair do avião; é bom respirar ar puro depois de 12 horas de voo.Todos são direcionados para os balcões do serviço de imigração.É agora.

Opção 1: Ir para o serviço de imigração - Vai para o Passo 1

B.1. ENREDO 125

B.1.2 (Passo 1)

A fila não está tão grande quanto você esperava. Assim que a família à sua frente éatendida, você já fica aguardando ser chamado. Um aceno e você é convidado a se aproximar doguichê:

“Um momento... Sua documentação, por favor”, diz o funcionário do serviço de imigra-ção.

Você se supreende quando ele te informa que aqui você pode optar entre algumas formasnão convencionais pelas quais você pode fornecer seus dados, além da velha forma manual,claro.

De onde você veio esses serviços são tão formais, que você nunca imaginaria que algumdia as opções a seguir seriam apresentadas a você.

Então, o que você vai querer fazer?*Nas opções de fornecimento de dados via redes sociais, o usuário era direcionado para

uma tela de login; assim que autenticado, as informações necessárias eram recuperadas de

perfil. A saber: nome, sexo, data de nascimento, email e foto.

Opção 1: Fornecer dados do Facebook - Vai para o Passo 2c

Opção 2: Fornecer dados do LinkedIn - Vai para o Passo 2c

Opção 3: Fornecer dados manualmente - Vai para o Passo 2c

Opção 4: Não quero fornecer meus dados

B.1.3 (Passo 2a)

"Suas feições me dizem que você vem de além das fronteiras do Mar Prestos, terras queestão sendo destruídas na guerra pela posse dos [escassos] recursos hídricos da região, hã? OK.Deixe-me ver sua documentação..."

Você aguarda apreensivo enquanto ele analisa sua documentação."Bom, pelo que vejo aqui está tudo certo. Seja bem vindo a Privus. Ah! E já ia me

esquecendo! Antes de mais nada, certifique-se de sempre levar seu dispositivo móvel, smartphoneou tablet, com você; caso seja necessário contatá-lo ou você queira usar algum serviço, ele seráessencial."

Opção 1: Saber mais sobre Privus - Vai para o Passo 3

B.1.4 (Passo 2b)

Até tempos atrás, Privus sempre esteve de braços abertos para receber pessoas dediferentes países e culturas. Até que essa confiança foi traída.

B.1. ENREDO 126

Figura B.1: Formulário de Dados Pessoais

Devido ao ataque terrorista que destruiu nosso país e nos forçou a reconstruir do nada,não permitimos a entrada de estrangeiros que não submetam suas informações pessaois à nossaaveriguação.

Você será levado até a sala de longa espera enquanto formalizamos sua deportação.(Fim da história)

B.1.5 (Passo 2c)

Aqui você pode configurar cada grupo de dados de forma individual.Certifique-se de configurar a importância de cada grupo de dados, para influenciar na sua

experiência nas próximas etapas.Atente-se para informar aqui o quão importante você considera cada perfil seu - dados

pessoais, financeiro, localização, médicos e relacionamento - representando o quão privado vocêo considera.

Você deve preencher os campos assinalados com (*).Formulário de Dados Pessoais - Figura B.1Formulário de Dados Financeiros (Fictícios) - Figura B.2Formulário de Dados de Consumo (Fictícios) - Figura B.3Formulário de Dados Localização (Fictícios) - Figura B.4Formulário de Dados Médicos (Fictícios) - Figura B.5Formulário de Dados de Relacionamento - Figura B.6

Opção 1: Continuar - Vai para o Passo 2a

B.1. ENREDO 127

Figura B.2: Formulário de Dados Financeiros (Fictícios)

B.1.6 (Passo 3)

"Bom, acho que você já deve ter ouvido algo sobre nosso país e nossa cidade, mas aindaassim quero deixar claro para você como anda a situação por aqui."

"Secreta, nosso querido país, já não é a mesma coisa desde 2015, quando o governo assu-miu publicamente que monitorava toda e qualquer transação realizada por meios convencionaisou eletrônicos. A notícia causou revolta generalizada no país, acentuando a confusão geradapelas constantes denúncias de corrupção na alta cúpula governamental. As coisas se tornarammeio hostis por aqui."

"E como se não bastasse o impacto que a economia sofreu por conta das mazelas políticas,o país foi assolado por um ataque terrorista, motivado pela existência esclarecida das indústriasde armamento biológico e nuclear instaladas aqui."

"Hoje, dois anos depois de o caos ter se instaurado, o país está saindo da fase dereconstrução. Privus foi, certamente a cidade mais atingida pelo que ocorreu, por conta de ser

B.1. ENREDO 128

Figura B.3: Formulário de Dados de Consumo (Fictícios)

o centro político e econômico do país. A metrópole é reconhecida pela produção científico-tecnológica e isso representa muito por aqui; os privenses têm orgulho de afirmar que foi essacapacidade de gerar conhecimento aplicado que ajudou a cidade a se reerguer tão depressa,enquanto as cidades menos favorecidas ainda se lamentam na penúria."

"Quem chega por aqui nem nota que há pouco tempo tudo não passava de ruínas, comouma selva de cimento - sólida e cinzenta - destruída. A praça central agora está tão linda quantosempre fora; a catedral pode ser vista desde o pórtico de entrada da cidade, elegante e imponentecom suas paredes de pedra e vitrais coloridos com imagens angelicais. As ruas estão de volta àorganização habitual. Prédios, lojas, escolas, hospitais, tudo foi projetado, construído do nadaque restara, para comportar tecnologia, conforto e funcionalidade."

"Não é de se espantar que aqui até mesmo os postes estão online 24/7.""Ninguém mais ousa perguntar o porquê de tanto investimento em infraestrutura de

tecnlogia. Desde que a população começou a vivenciar os benefícios da conectividade, tudo ficoumenos burocrático e mais cômodo. Ninguém aqui precisa perder tempo com papéis e presençafísica em lugar algum. Grande parte dos serviços são digitais e muito bem integrados. Você, porexemplo, não ousaria sair de casa e passar pela Condessa de Sá, avenida principal da cidade, empleno dia de chuva sem uma pesquisa online sobre como andam as coisas por lá, se o tráfegoestá liberado, se é um dia daqueles que os carros estão proibidos e os metrôs funcionam emesquema especial para atender a população, visandodiminuir a pegada de carbono da cidade ouse o tráfego foi redirecionado por causa de algum acidente."

"Mas, tudo tem seu preço.""Talvez não a praça, a catedral ou o pórtico, nisso tudo a cidade nem parece que passou

B.1. ENREDO 129

Figura B.4: Formulário de Dados de Localização (Fictícios)

pelo que passou. Mas o povo, este permanece assustado e temeroso. Ninguém mais se sentiaseguro e isso refletiu nas ações do governo em burocratizar a entrada de estrangeiros no país.Como consequência, mais do que antes, privacidade por aqui troca-se por segurança, conforto ecomodidade."

"Em Privus, nada é tão particular. Sua cordialidade, somada à sua rotina e toda a sortede monitoramento a que você está exposto podem dizer muito sobre você. Como um bomforasteiro você deve estar se perguntando: "Muito, o quanto?". Bom, que tal se eu te disser queo prefeito Garcia Costa - mesmo sendo tão presente e dedicado à família - descobriu, atravésdo Goucipi News que a própria filha estava grávida, graças à combinação de termos de buscasque ela utilizou em seu computador pessoal, frequência com ela ia ao banheiro no colégio ealgumas alterações hormonais identificadas na rotineira higiene matinal, graças ao Health Mirror- construído com tecnologia e conhecimento locais, a propósito - que faz um checkup nos sinaisvitais e alguns outros testes básicos de alterações corporais. Acho que dá pra ter noção do quedigo, não?"

"Bom, esse foi um... Ops! (Exibir notificação: ’Notificação do Privus Master Location:Sr. Guia Novos históricos de localização estão disponíveis para análise!’) Acho que esse barulhoé meu Citizen Monitor... E veja, acabo de receber aqui o histórico de localização dos habitantes...”

“E olha quem está logo aqui... É você! Legal, não? Todas as autoridades têm acesso aum desses, que é para ajudar no caso de avaliarmos como está o fluxo pela cidade e agirmos emcaso de alguma anormalidade."

"Por aqui também temos o Privus Citizen... é um aplicativo muito interessante paraqualquer pessoa que esteja por aqui. Por ele você tem acesso ao Fakebook, uma rede social para

B.1. ENREDO 130

Figura B.5: Formulário de Dados Médicos (Fictícios)

você estar em contato constante com seus amigos e tudo o mais sobre eles, e o Twistter, ummicroblog que você fica por dento de diversos assuntos do seu interesse. São bem legais, quandopuder, instale. Acho que você vai gostar."

"Voltando ao que estava dizendo, nada é tão privado por aqui. Às vezes penso que isso ébom, por que nos permite experimentar serviços mais personalizados e mais específicos paranossas necessidades; até os serviços públicos têm melhorado bastante. No entanto perdemoscontrole sobre o que sabem de nós... Bom, mas esse já é assunto para outra hora."

"Enfim, você está liberado para ir. Espero que tenha uma ótima estadia por aqui""Ah! E já ia me esquecendo! Antes de mais nada, certifique-se de sempre levar seu

dispositivo móvel com você, seu smartphone ou tablet; caso seja necessário contatá-lo ou vocêqueria usar algum serviço, ele será essencial."

O que você deseja fazer agora?

Opção 1: Fazer um tour pela cidade - Vai para o Passo 4a

Opção 2: Ir para casa - Vai para o Passo 4b

Opção 3: Quero me encontrar com meus amigos - Vai para o Passo 4c

B.1.7 (Passo 4a)

Um tour pela cidade? Excelente escolha!

B.1. ENREDO 131

Figura B.6: Formulário de Dados de Relacionamento

Bom, você é um novato por aqui, então imagina-se que você queira explorar até se perderde vista. Por precaução, é recomendável que você habilite o serviço de localização pois, casovocê se perca, será mais fácil para se encontrar ou mesmo para pedir ajuda.

Além do serviço de localização, acho que você ainda não tem Fakebook. Quando aspessoas chegam por aqui sempre gostam de tirar fotos e compartilhar, conversar com seus amigos,ou mesmo fazer check-in nos lugares que acham mais interessante.

Oferecer Serviços Gugou Maps e Fakebook, ver Seção B.2 para detalhes.Pronto? Então vamos começar nosso tour!Bom, aqui nós estamos na entrada principal da cidade.Aqui à nossa esquerda fica banca do Sr. Pedro. Um senhor muito distinto que tem sempre

muitas histórias da grande Guerra para contar. ’Bom dia Seu Pedro!’Neste prédio está instalado o Centro de Comando Policial de Privus. Aqui também fica o

Centro de Monitoramento e Informação, de onde saem as decisões estratégicas para situações derisco, investigação de crimes, análises populacional para quaisquer interesses. Nós brincamosaqui que, se você não sabe alguma coisa sobre você mesmo, é aqui que você deve vir; eles com

B.1. ENREDO 132

certeza saberão...Vamos andando. O Corpo de Bombeiros se instalou neste prédio tem pouco tempo. Ficou

bem localizado até...Aqui também fica a maior academia da cidade. Sempre que passa por aqui, é nesta

academia que o Presidente gosta de queimar suas calorias presidenciais. Ah! E veja, esse tipo depromoção "Faça check-in, ganhe desconto"é bem comum por aqui.. Às vezes me pergunto oque eles ganham com isso. Eu, particularmente, faço quantos check-ins forem necessário paraganhar um descontão.

Este é o Hospital Saint Joseph. Temos muito orgulho deste hospital. Além das inúmerasespecialidades, eles usam um sistema no qual os médicos têm acesso a um conjunto de informa-ções consolidadas sobre os pacientes vindo das mais diferentes fontes possíveis. É interessantepor que o diagnóstico é muito preciso e os tratamento são específicos. Estando aqui você estaráem boas mãos.

Este prédio moderno e imponente aqui é a Casa do Governo de Privus; nome sofisticadopara um lugar mais conhecido como prefeitura.

Alí fica a Electric Privus, concessionária de energia elétrica local, na verdade só aparte administrativa está instalada ali. Eles estão implantando um sistema interessante demonitoramento de energia elétrica inteligente para residências que, de acordo com eles, vaiajudar os cidadãos a economizar energia.

Este é meu ponto preferido da cidade... A Praça Central. Eu passo por aqui sempre queposso. Este ambiente de natureza que podemos presenciar aqui faz muito bem. Diferente dapaisagem urbana a que estamos acostumados.

Depois da reconstrução Privus ficou bem melhor quanto a essa coisa de natureza, masainda tem muito a melhorar. Depois que as ruas foram pavimentadas, o escoamento da água dachuva ficou bem prejudicado.

Aqui fica uma das maiores hamburguerias de Privus, o BurgerQueen. Não sei se vocêé uma daquelas pessoas de hábitos alimentares radicais, mas para todo caso, vale a penaexperimentar...

Este aqui é o nosso museu. Acho que em alguns minutos ele estará aberto para visitação.Se quiser saber com mais detalhes por tudo que nossa cidade já passou, é por aqui que você devecomeçar.

Aqui fica nossa tradicional padaria. Parada obrigatória de qualquer cidadão privense quese preze.

Nosso Shopping, Maximus... Tem ótimas salas de cinema e também muitos restaurantesde comidas exóticas.

Aqui é o hipermercado Carrefive; tem um aqui e outro quase na saída da cidade.Esse aqui é o clube esportivo da cidade. Todas as atividades aqui são gratuitas. Não sei

se você gosta de praticar esportes, mas se gosta, esse é o lugar!Opa! Tem algo errado por aqui... Eu não passo por aqui com frequência, mas ali naquela

B.1. ENREDO 133

esquina costumava ser o Vikings’ Bar. E logo à esquerda deveria ter um... Ah não! Acho queestamos perdidos. Me empolguei demais na conversa e não reparei o caminho que fizemos.

Como vamos voltar? Alguma ideia?

Opção 1: (Condição: Instalou Gugou Maps) Vamos usar o mapa - Vai para o Passo 5a

Opção 2: Deixa comigo, eu sei o caminho - Vai para o Passo 5b

Opção 3: (Condição: Instalou Fakebook) Quero pedir ajudar - Vai para o Passo 5c

B.1.8 (Passo 4b)

Imagino que a viagem tenha sido cansativa. Ok, você está liberado.Antes de partir, gostaria de sugerir que você instalasse o serviço de localização no seu

smartphone ou tablet, para que fique mais fácil se localizar na cidade, ou mesmo te ajudar a irpara sua casa agora.

Oferecer Serviço Gugou Maps, ver Seção B.2 para detalhes.

Opção 1: Seguir para casa - Vai para o Passo 5d

B.1.9 (Passo 4c)

Você decide se encontrar com seus amigos. Como é recém chegado na cidade vocêdecide usar alguma rede social para ver se encontra alguns dos seus amigos, que vierem muitoantes de você, para que possam se encontrar e sair para se divertir. Além disso, você precisasaber o que tem para se fazer por aqui... restaurantes, bares, parques, academias, supermercadose tudo o mais que, vez ou outra, você venha a precisar. Tem o bom e velho jeito tradicional,do século passado, que é andar e andar e andar procurando o que você precisa, e tem a formamoderna: usar alguma rede social.

Aqui em Privus, você tem duas opções muito interessantes de redes sociais: o Fakebook,no qual você pode estar em contato com seus amigos, artistas, grupos e tudo o mais, compar-tilhando fotos, textos, vídeos, e também pode encontrar o que a cidade oferece em termos deserviços, como restaurantes, mercados, oficinas mecânicas, bares, sempre destacando as opçõesindicadas pelos seus amigos

Outra opção interessante de rede social que temos aqui, é o Twistter. O Twistter é ummicroblog, onde você pode ficar por dentro de notícias, opiniões e discussões sobre assuntosdo seu interesse e também pode divulgar e compartilhar suas opiniões e conteúdos que acheinteressante. Mas tudo isso pode ser feito com no máximo 100 caracteres.

Oferecer Serviços Fakebook e Twistter, ver Seção B.2 para detalhes.

Opção 1: Continuar - Vai para o Passo 5e

B.1. ENREDO 134

B.1.10 (Passo 5a)

Ufa... Ainda bem que você tinha habilitado o serviço de localização, o Gugou Maps.Agora, basta irmos olhando onde estamos e onde queremos chegar, no mapa, e compor

nosso trajeto escolhendo uma das ruas oferecidas como opção.Iniciar subrotina Navegação, ver Seção B.3 para detalhes.

Opção 1: (Condição: Chegou no destino) Passo 7a

B.1.11 (Passo 5b)

Aparentemente você decidiu que nós saberíamos nos virar sozinhos... Agora é por nossaconta e risco...

Estamos perdidos, não temos o auxílio do serviço de localização disponibilizado nacidade e não temos a quem pedir ajuda...

A partir de agora, serão apresentadas para você, em cada esquina, as opções disponíveispara seguir o trajeto de volta à entrada da cidade, lugar de onde viemos, vamos andar de acordocom suas escolhas.

Iniciar subrotina Navegação, ver Seção B.3 para detalhes.


B.1.12 (Passo 5c)

Ajuda.. ajuda.. Deixe-me lembrar...Sim! Podemos entrar no seu Fakebook e ver se algum dos seus amigos habilitou o serviço

de localização e tem acesso ao mapa para nos ajudar.Se você adicionou algum amigo ao seu perfil (ainda não adicionou?? Faça isso agora

clicando aqui). Basta clicar, aqui ao lado esquerdo, no item "Fakebook", e pedir as coordenadaspara chegar ao seu destino!

Iniciar subrotina Navegação, ver Seção B.3 para detalhes.


B.1.13 (Passo 5d)

Você parte da entrada da cidade rumo ao novo lugar que você vai chamar de ’sua casa’(que você conseguiu com alguns contatos antes de chegar por aqui), carregando um guia turísticoque lhe foi entregue assim que foi autorizado a entrar na cidade.

Você vira à esquerda, onde vê uma banca - do Sr. Pedro - como diz a fachada. Peloque parece, o Senhor Pedro deve ser homem simpático logo na porta conversando com algunsclientes.

B.1. ENREDO 135

Logo em frente você vê o Hospital Saint Joseph. De acordo com o guia, os privenses têmmuito orgulho deste hospital. Além das inúmeras especialidades, eles usam um sistema no qualos médicos têm acesso a um conjunto de informações consolidadas sobre os pacientes vindo dasmais diferentes fontes possíveis. O diagnóstico é muito preciso e os tratamento são específicos.

Você avista o prédio onde está instalado o Centro de Comando Policial de Privus. Aquitambém fica o Centro de Monitoramento e Informação, de onde saem as decisões estratégicaspara situações de risco, investigação de crimes, análises populacional para quaisquer interesses.Uma brincadeira no guia diz que, se você não sabe alguma coisa sobre você, é aqui que você vir;eles com certeza saberão...

Logo a frente você vê o prédio do Corpo de Bombeiros. Ficou bem localizado até...Seguindo pela calçada você identifica o Colégio Ron Rivest. Pelo que se lê, os grandes

engenheiros e cientistas que produzem a tecnologia local estudaram aqui.(Exibir notificação se usuário instalou o Gugou Maps: ’Notificação do Gugou: O Museu

de Privus estará aberto em 5 minutos! Não seria uma boa ideia passar e descobrir um poucomais sobre nossa história?’) Você chega então ao museu. De acordo com a placa informativa nafrente, em alguns minutos ele estará aberto para visitação.

(Exibir notificação se usuário instalou o Gugou Maps: ’Notificação do Gugou: Estácom fome? Que tal um hamburger? Passe no Burger Queen’) Passando em frente a um bistrô,bem movimentado, você avista uma das maiores hamburguerias de Privus (de acordo com oguia), o BurgerQueen. Não sei se você é uma daquelas pessoas de hábitos alimentares radicais,mas para todo caso, vale a pena experimentar...

Você chega na Praça Central, um ambiente cheio de árvores, um gramado muito bemcuidado, muito bancos à sombra, uma fonte bem ao centro e um pequeno lado, ao fundo, por ondepassa um pontezinha. Este ambiente de natureza que se pode presenciar aqui é bem diferente dapaisagem urbana a que você está acostumados.

(Exibir notificação: ’Seja bem vindo(a) a Privus <nome do participante>! Estamos adisposição para ajudá-lo no que for necessário para o exercício de sua cidadania por aqui.’) Esteprédio moderno e imponente logo adiante é a Casa do Governo de Privus; nome sofisticado paraum lugar mais conhecido como prefeitura.

Depois você vê o hipermercado Carrefive (nome esquisito que não lhe é estranho...); deacordo com o guia, tem um aqui e outro quase na saída da cidade.

Você então decide entrar e comprar alguma comida para levar para a casa.Você dirige-se ao balcão de recepção e pega um tablet para te auxiliar na compra. É

de fato muito prático... Você pode ver o mapa de prateleiras e produtos, pode fazer sua listade compras e, conforme adiciona produtos o total já é exibido automaticamente, mesmo semnenhuma contrapartida sua.

(Exibir notificação: ’Seja bem vindo(a) ao Carrefive! Nosso hipermercado disponibilizatablets para te auxiliar nas comprar. Pegue o seu em um dos balcões de recepção! (Devolva aosair da loja)’) Finalmente você pega os mantimentos que deseja e procura o caixa. Depois de

B.1. ENREDO 136

um tempo, você percebe que não tem nenhum caixa ali e pergunta à funcionária da recepçãocomo funciona o pagamento. Ela então te informa que basta informar o número do seu cartão decrédito na aplicação e o pagamento é efetuado assim que você deixar o supermercado.

Você informa os dados necessários para efetuar o pagamento e sai.De volta ao seu caminho , logo em frente fica a Electric Privus, concessionária de energia

elétrica local. O guia que você trás em mãos informa que eles estão implantando um sistemainteressante de monitoramento de energia elétrica inteligente para residências que, de acordocom eles, vai ajudar os cidadãos a economizar energia.

O guia lhe mostra o Shopping Maximus... A descrição diz que tem ótimas salas decinema e também muitos restaurantes de comidas exóticas.

Aqui ao lado tem uma Casa Lotérica, onde se pode pagar contas, fazer apostas e outrosserviços similares e, logo ao lado, fica a tradicional padaria privense. Parada obrigatória dequalquer cidadão privense que se preze.

Finalmente, você chegou em sua casa nova casa.

Opção 1: Seguir - Vai para o Passo 6b

B.1.14 (Passo 5e)

Considerando sua vida lá do país de onde você veio, você já está cansado de andar a pé.Sem contar que ia te dar uma boa moral encontrar-se com seus amigos em um carro zerinho.

Levando em conta suas finanças, você decide que pode comprar um carro. Além do mais,você viu na previsão do tempo que uma frente fria está se aproximando de Privus e, com ela,vem as chuvas. Francamente, você não vai querer ficar preso em casa, em um cidade cheia decoisas novas para você conhecer, vai?

Você então vai até a concessionária Auto Privus. Chegando lá, você dá uma volta pelopátio para avaliar as possibilidades e aguarda até que o vendedor atenda uma senhora opulentaque já estava lá.

Quando chega sua vez de ser atendido, o vendedor é bastante simpático e te mostra asdiversas opções entre utilitários, esportivos, família etc. Você se interessa por um modelo queestava próximo à porta de entrada; para sua sorte, como tudo é muito prático aqui em Privus, ovendedor te informa da disponibilidade imediata desse modelo em estoque, o que pode reduzir oseu tempo de esperar em sair por aí andando com seu novo carrão.

Mas, nem tudo são flores, chega a hora de falar da parte ruim (ou boa, vai depender dassuas possibilidades financeiras): o pagamento. À vista, o carro custa <90% do valor em dinheiroque o participante possui no score>, mas o vendedor te informa que eles estão fazendo umapesquisa a fim de melhorar o atendimento, a experiência de compra e projetar novos automóveismais adequados às diferentes necessidades dos clientes. Desta pesquisa, serão gerados novosconceitos de veículos que, quando lançados, quem participou da pesquisa garante um descontãode 40% na aquisição do novo modelo!

B.1. ENREDO 137

Pois bem. Os clientes que quiserem participar hoje, ganham magníficos 15% de desconto(e o novo valor do automóvel que você quer comprar passa a ser <76,5% do valor em dinheiro queo participante possui no score>) e, para participar, basta que você forneça algumas informaçõesfinanceiras, como o extrato bancário dos últimos 6 meses, seu nome, documento de identificação,renda mensal e o preenchimento de um questionário socioeconômico.

Você decide...

Opção 1: Comprar o carro e participar da pesquisa - Vai para o Passo 6c

Opção 2: Comprar o carro sem participar da pesquisa - Vai para o Passo 6d

Opção 3: Continuar andando a pé - Vai para o Passo 6e

B.1.15 (Passo 6b)

"Pronto, chegamos em sua nova casa!". Diz o guia. "Aqui está a chave. Espero que tenhauma ótima estadia aqui em nossa cidade".

Você acena. A exaustão já tomou conta há alguns minutos. Você mal pode esperar paradescansar.

Opção 1: Abrir a porta - Vai para o Passo 7c

B.1.16 (Passo 6c)

Seus dados financeiros estão sendo recuperados para serem fornecidos para a concessio-nária.

Enquanto isso, responda o questionário abaixo para garantir seu direito ao desconto de15% no valor do automóvel.

(Exibir formulário extenso de perguntas de perfil socioeconômico).

Opção 1: Concluir a compra do meu carro - Vai para o Passo 7d

B.1.17 (Passo 6d)

Você optou por uma compra menos invasiva (apesar de mais cara) e decidiu não participarda pesquisa.

Apenas seus dados pessoais foram fornecidos, como de costume para qualquer compra.

Opção 1: Concluir a compra do meu carro - Vai para o Passo 7d

B.1. ENREDO 138

B.1.18 (Passo 6e)

Você optou por não comprar o carro. Sabe lá quais são seus motivos...Você liga para seus amigos e vocês decidem que vão ao Burger Queen. Como você é

novo na cidade, pediu que um deles lhe desse carona.O(A) <nome de um(a) amigo(a)> vai passar aqui para te pegar em alguns minutos.

Enquanto eles não chegam você senta-se em um dos bancos da calçada que tem logo na esquinada rua da concessionária.

Você repara que a movimentação por aqui é bem grande. Muitas pessoas fazendocaminhada, outras correndos, alguns pais brincando com seus filhos, alguns casais passeandocom seus cães.. Tem até um casal de velhinhos fazendo sua caminhada... Em sua direção, mas afrente fica a beira do lago. A paisagem faz você se perder em pensamentos por alguns instantes...

Você se pergunta se é possível ser sedentário por aqui, ou mesmo se existe algumaestatística que mostre o impacto desses hábitos na qualidade de vida das pessoas.

Ops! Falando em pessoas, sua carona acabou de chegar...

Opção 1: Burguer Queen da galera, aí vamos nós! - Vai para o Passo 8c

B.1.19 (Passo 7a)

"Finalmente chegamos de volta à entrada da cidade"."Bom, agora acredito que você deva estar um tanto cansado pela viagem e pela caminhada.

Aguarde um instante que vou levá-lo até a sua nova casa".

Opção 1: Ir para casa - Vai para o Passo 6b

B.1.20 (Passo 7b)

Infelizmente seu tempo hábil para encontrar seu destino acabou.Você foi encontrado em estado de choque pelos seus amigos dias depois. Sem casa,

banho ou comida, seu estado era deplorável.Por sorte agora você está bem e aos pouco se recupera do trauma de ter se perdido em

uma cidade na qual você tinha acabado de chegar, porém, sua experiência em Privus acabou.(Fim da história)

B.1.21 (Passo 7c)

Lar, doce lar...Opa! Você quase escorrega por causa de um envelope que tinha logo próximo da porta.

Você pega o envelope e para sua surpresa é da empresa de distribuição de energia elétrica, ElectricPrivus.

B.1. ENREDO 139

Com muito cuidado você abre o envelope e verifica que é uma conta de energia, no valorde 150,00. Provavelmente deve referir-se ao consumo do último inquilino. Você já estava cientede que isso poderia ocorrer e que, baseado nas leis locais, você sabe que é o responsável por estadívida. Isso não será o problema, já que você ainda tem <valor em dinheiro que o participantepossui no score> disponível em sua conta bancária aqui em Privus.

Sendo assim, o que você deseja fazer?

Opção 1: Pagar a conta agora mesmo - Vai para o Passo 8a

Opção 2: Depois eu vejo o que eu faço - Vai para o Passo 8b

B.1.22 (Passo 7d)

Você liga para seus amigos e vocês decidem que vão ao Burger Queen.Esta será sua primeira oportunidade de estrear sua mais nova aquisição: seu carro. Como

alguns de seus amigos não têm carro, você ofereceu carona a alguns deles e resolve sair maiscedo para pegá-los antes de ir para a hamburgueria.

Você entra no seu carro, senta-se confortavelmente em seu banco de motorista, inspira eexpira, vagarosamente... o cheiro inebriante de carro novo ainda está por aqui.

Você dá a partida, conecta seu dispositivo móvel ao som automotivo via bluetooth,escolhe sua playlist preferida e segue para encontrar seus amigos.

Opção 1: Burguer Queen da galera, aí vamos nós! - Vai para o Passo 8c

B.1.23 (Passo 8a)

As autoridades locais apreciam cidadãos responsáveis...Você tem a disposição duas formas de pagamento. Qual delas você escolhe?

Opção 1: Cartão - Vai para o Passo 9a

Opção 2: Dinheiro - Vai para o Passo 9b

B.1.24 (Passo 8b)

(Exibir notificação: ’Notificação da Electric Privus: A energia elétrica de sua residênciaserá interrompida em 5 dias!’) Inadimplentes por aqui ganham má fama muito facilmente. Ocadastro de maus pagadores é compartilhado entre as empresas e pode impactar em qualquerinteração de compra e venda futura.

Por sorte, você ainda tem 5 dias para efetuar o pagamento.


B.1. ENREDO 140

B.1.25 (Passo 8c)

Vocês chegam ao Burger Queen e vêem que está bem cheio. Tem até uma pequena filade espera. Como vocês estão botando o papo em dia, decidem aguardam enquanto conversam.

É aí que um de vocês se depara com um grande cartaz que anuncia a seguinte promoção:"Faça um check-in no Fakebook, com uma foto aqui no BurguerQueen e ganhe um desconto de4!".

Você está na dúvida se compra a opção na promoção ou se escolhe um combo maiscompleto, com refrigerante e fritas.

Finalmente chega a vez de vocês serem atendidos, você chega ao balcão e o atendentepede que você faça seu pedido:

(Exibir formulário de pedido do Burger Queen).A atendente então pergunta se você vai fazer o check-in. Oferecer Serviço de check-in,

ver Seção B.2 para detalhes.É hora de fazer o pagamento. Sua conta totaliza <total do pedido>. Qual vai ser a forma

de pagamento?

Opção 1: Cartão - Vai para o Passo 9c

Opção 2: Dinheiro - Vai para o Passo 9d

B.1.26 (Passo 9a)

Você decidiu pagar sua conta de energia elétrica usando cartão. Esta é mesmo uma formacômoda e segura para fazer pagamentos.

Por questões de facilidade, isso será feito através do site de serviços do governo local.Ver Figura B.7;


B.1.27 (Passo 9b)

Ok. Para efetuar o pagamento em dinheiro voce precisa se dirigir a alguma estabeleci-mento mais próximo.

Como você é novo na cidade recomenda-se sempre o uso do Gugou Maps pois, casovocê se perca, será mais fácil para se encontrar ou mesmo pedir ajuda.

Os estabelecimentos onde você pode efetuar o pagamento de sua conta estarão escritos aseguir.

Opção 1: Vamos à busca! - Vai para o Passo 10b

B.1. ENREDO 141

Figura B.7: Formulário de Serviço eGov

B.1.28 (Passo 9c)

Pagamento efetuado com sucesso!"Muito obrigado, tenha uma ótima refeição"(Exibir notificação se o usuário instalou o Fakebook: ’Notificação do Fakebook: <Nome

de um amigo> curtiu seu check-in no Burger Queen!’)Você está dando muitas risadas com seus amigos. O ambiente está bem agradável, a

música ambiente está bem envolvente e você acaba esquecendo do mundo lá fora. Já fazia tempoque você não comia um bom hambúrguer desses... Desde que o lado sul do mar Prestos entrouem guerra, sua cidade ficou sem fornecimento de serviço externos. O governo não tinha muito oque fazer quanto a isso. A dependência da importação de alimentos de países um tanto distantes,fazia com que, uma vez iniciada a guerra, o transporte desses alimentos teriam que cruzar terrasinimigas, impedindo que chegassem até seu país. Tudo o que o povo podia fazer era viver do queplantava. Nada mais.

Neste momento você é trazido de volta à sua realidade pelo som de notificação doseu smartphone. A defesa civil de Privus avisa de uma chuva torrencial que se aproxima dacidade e alerta para a possibilidade de evacuação de algumas áreas, graças à instalação desensores de monitoramento das condições climáticas; eles também pedem para que a populaçãocontribua com reports do que está acontecendo na diversas partes da cidade, criando uma rede decompartilhamento de informações sobre as condições da cidade.

Você então se dá conta que o céu está escuro lá fora e alguns relâmpagos já começam

B.1. ENREDO 142

atravessar o céu.(Se o participante comprou o carro)Como você não sabe muito bem como são as coisas por aqui nessas situações, você se

despede de seus amigos, oferece carona, caso algum deles necessite (eles gentilmente recusam,vão ficar para mais um rodada), e parte dali.

(Se o participante não comprou o carro)Como você não sabe muito bem como são as coisas por aqui nessas situações, você fica

receoso de sair para pegar um ônibus, taxi ou metrô. Você pede carona a um de seus amigos, umdeles diz que pode te levar para casa. O único problema é que ele bebeu mais do que devia e osoutros o convencem de que seria melhor deixar você dirigir. Vocês então partem dali.

(Fim - Se o participante comprou o carro)O temporal começa. Uma verdadeira chuva torrencial. Você percebe que os motoristas

estão meio tensos no volantes, o que te deixa com um pressentimento nada bom.(Se o participante instalou o Twistter)Sua meta já era chegar na sua casa antes que o tempo piorasse. Agora, a urgência só se

intensifica.(Se o participante instalou o Fakebook)Para sua sorte, o mapa vai te ajudar com as ruas. Porém, apesar de existirem vários cami-

nhos possíveis para você chegar até sua casa, alguns deles apresentam alagamento, impedindo apassagem de veículos, e outras vias apresentam pontos de lentidão, o que vai fazer com que vocêdemore um pouco mais, correndo o risco de a situação piorar.

Para ajudá-lo, o serviço de localização conta com sua contrapartida: você pode enviarum twistter com sua localização e um report da condição da via em que você está e, em troca,recebe o status de alguma via que você deve evitar, ou porque está alagada (caso em que vocêficará fatalmente ilhado), ou porque está com trânsito lento.

(Se o participante não instalou o Fakebook)Para amenizar a situação, já que você não tem o serviço de localização, serão apresentadas

para você as opções de ruas por onde você pode seguir no seu trajeto até sua casa. Apesar deexistirem vários caminhos possíveis, alguns deles apresentam alagamento, impedindo a passagemde veículos, e outras vias apresentam pontos de lentidão, o que vai fazer com que você demoreum pouco mais, correndo o risco de a situação piorar.

Para ajudá-lo, o Twistter conta com sua contrapartida: você pode enviar um twistter detexto com um report da condição da via em que você está, em troca, recebe o status de algumavia que você deve evitar, ou porque está alagada (caso em que você ficará fatalmente ilhado), ouporque está com trânsito lento.

(Fim - Se o participante instalou o Fakebook)(Se o participante não instalou o Twistter)Um cidadão com o Twistter em mãos agora teria informações valiosas sobre os trajetos.

Mas este não é o seu caso.

B.1. ENREDO 143

O que você vai ter a sua frente é um trajeto complicado, em meio a uma tempestadedifícil, com alguns desafio a sua frente, que você terá de resolver sozinho. Apesar de existiremvários caminhos possíveis para você chegar até sua casa, alguns deles apresentam alagamento,impedindo a passagem de veículos, e outras vias apresentam pontos de lentidão, o que vai fazercom que você demore um pouco mais, correndo o risco de a situação piorar.

(Se o participante instalou o Gugou Maps)Baseando-se no mapa, pense nos trajetos possíveis e conte com sua sorte.(Se o participante não instalou o Gugou Maps)Para seu azar, você não tem Twistter, nem o serviço de localização... Isso significa que

agora é hora de deixar teu instinto te guiar. Você terá apenas as opções de quais vias você podeescolher em determinado momento.

(Fim - Se o participante instalou o Gugou Maps)(Fim - Se o participante instalou o Twistter)Você deve atentar para as seguintes instruções:

� Se a via que você escolher estiver alagada, você ficará fatalmente ilhado;

� Em caso de trânsito, seu deslocamento terá a velocidade reduzida proporcionalmente;

� O ideal é que você chegue são, salvo e, eventualmente, seco na sua casa :).

Vamos nessa?Iniciar subrotina Navegação com Chuva, ver Seção B.3 para detalhes.

Opção 1: (Condição: Chegou na casa) Passo 11b

Opção 2: (Condição: Esgotou o número de tentativas) Passo 11c

Opção 3: (Condição: Entrou em rua alagada) Passo 11d

B.1.29 (Passo 9d)

Idem ao Passo 9c.

B.1.30 (Passo 10a)

Você acabou de efetuar o pagamento da sua conta de energia!Pela pontualidade no pagamento, as autoridades te oferecem 5% de desconto na próxima

conta de energia.Falando nisso, ao retornar para casa, você percebe que havia um folheto da distribuidora

de energia, a Electric Privus, caído no jardim de entrada da sua casa, falando sobre o uso recentedo medidor de consumo de energia inteligente, que coleta o consumo de energia elétrica decada equipamento dentro da residência e, além de permitir a geração da conta no final do mês,

B.1. ENREDO 144

também deixa você por dentro do consumo de cada equipamento, para que você saiba tim-timpor tim-tim o que cada equipamento doméstico está consumindo.

Oferecer Serviço Smart Meter, ver Seção B.2 para detalhes.


B.1.31 (Passo 11a)

Agora, no conforto da sua casa, você liga a TV e acaba zapeando até um canal de saúde,o Privus Health, onde estão discutindo os malefícios de uma vida sedentária.

"A falta de exercício está causando tantas mortes em todo o mundo como o tabagismo,de acordo com pesquisas realizadas recentemente, pela Universidade Federal Secreta, a UFS.

Mas, enquanto algumas centenas de atletas estiveram empurrando seus corpos ao limite,a maior parte do mundo esteve assistindo na TV, sentado inativo por horas a fio.

Os cientistas dizem que não são eles, nem a Copa, que estão defendendo sessões excru-ciantes de ginástica. Como Pamela Moras, da UFS coloca: "E não se trata de correr em umaesteira, enquanto olha para um espelho e ouve o seu iPod."

Não há nada de errado em ir para a academia, é claro, mas o objetivo é incentivar quetodos construam hábito de incluir atividades físicas em suas vidas diárias, como deslocar-se a pé,andar de bicicleta, nadar ou fazer qualquer esporte que gostem.

O problema é que todos estamos acostumados com esses conceitos. Todos sabemos quedeveríamos nos mover mais e passar menos tempo sentados. Ainda assim, 1 em cada 3 adultosno mundo inteiro não consegue fazer o recomendado: 150 minutos de atividade física aeróbicamoderada por semana.

Então ao invés de enfatizar os benefícios à saúde, provocados pelos exercícios, ospesquisadores UFS optaram por mostrar os danos causados pela inatividade. Eles estimam que afalta de exercício é responsável por cerca de 5.3 milhões de mortes por ano - quase o mesmonúmero causado pelo tabagismo..."

Você zapeia para alguns outros canais... clipes musicais, uma novela mexicana com seuspersonagens clássicos, um canal de notícias do qual você muda rapidamente por que percebe queestão falando das guerras no além-Mar Prestos.. Você acaba voltando ao Privus Health.

(Exibir notificação: ’Preocupado com sua saúde? Faça mais por você mesmo, utilizeo Health Monitor o mais indicado Privus Health. Saber mais. . . ’. Oferecer Serviço HealthMonitor, ver Seção B.2 para detalhes.)

Você acaba de se sentar no sofá da sua sala para descansar da longa caminhada. Ocoração está um pouco mais acelerado do que devia. Percebe que a boca está um tanto seca,levanta-se, pega um copo de água e volta a sentar-se. Você sente um pouco de tontura, masentende que tudo está normal e que não há nada com o que se preocupar. Agora que você estáem uma nova cidade, pode se programar para uma nova rotina que inclua atividades físicas e umalimentação balanceada, coisas que já não faz há um bom tempo.

B.1. ENREDO 145


B.1.32 (Passo 11b)

Parabéns... Você acabou de estacionar seu carro na garagem. Por sorte, tudo está bempor aqui. Você tranca o carro, ativa o alarme e vai para dentro de casa.

Está exausto, hoje foi um dia bem cheio. Agora é hora de tomar um bom banho, vestiraquele moletom bem confortável, relaxar e, quem sabe, viver feliz para sempre.

(Fim da história)

B.1.33 (Passo 11c)

Seu combustível acabou.Por pura infelicidade, o céu está desabando por aqui. Você poderia até tentar chamar

atenção de alguém para pedir ajuda, mas entende que isso beira o impossível. Seria mais fácilnadar até sua casa, se você me permite a piada.

Não há o que fazer. Incline seu banco e tente tirar um cochilo, porque daqui você não vaisair até que esta chuva pare.

Isso se ela parar...(Fim da história)

B.1.34 (Passo 11d)

Ops, rua alagada... Não! Não tente acelerar e sair daqui, meu(inha) caro(a)... Isso aqui éum carro, não uma lancha.

À essa altura, deve ter barro no filtro de ar, curtos circuitos estão fazendo uma festa naparte elétrica... O caos se instaurou no seu carro. Se você sabe nadar, a hora é essa.

Devo lembrar que seu assento é flutuante; não resolve, mas já ameniza a situação.(Fim da história)

B.1.35 (Passo 12a)

(Exibir notificação se usuário instalou o Health Monitor: ’Que tal incrementar o seuHealth Monitor com o serviço de atendimento emergencial onde quer que você esteja? Sabermais...’. Oferecer Serviço Health Assist, ver Seção B.2 para detalhes.)

Você começa a sentir um pouco de fome e decide ir fazer algo para comer. Depois depreparado um sanduíche, você volta a se sentar no sofá.

Enquanto isso, coloca no canal de notícias e aumenta um pouco mais o volume para quepossa ouvir...

".. Estará nas telonas hoje Tickle, uma animação feita pela Cisney, vivida por personagensanimados extremamente iguais aos humanos. A história de suspense é sobre uma mulher que

B.1. ENREDO 146

descobre ser enganada pelo marido. O fato curioso sobre o filme, é que é impossível identificara diferença entre atores reais e as animações. A técnica é vista como promissora e prometerevolucionar a indústria cinematográfica criando a licença de uso do rostos dos atores, ao invésde pagar fortunas para incorporá-los no elenco, e a possibilidade de incluir atores que não estãomais vivos ou que já estão aposentados às produções."

"Agora, na seção internacional, fala-se que amanhã é o último dia para circulação deEuros em espécie para os países da União Européia. Devido ao crescimento do uso de SmartCards, a decisão de remover cédulas e moedas do mercado foi tomada há 5 anos atrás e napróxima sexta feira encerra-se o prazo. Estabelecido em 1999, o Euro entrou em circulação em2002 na União Européia e, de agora em diante, estará disponível apenas em museus."

"Nasceu esta manhã na cidade de Djambala, República do Congo, a pessoa de número9000000000 no planeta. A mãe Ngasanya Ngollo, de 23 anos, disse que estava muito feliz com achegada de Titi, como será chamada a recém nascida."

"Analistas reportaram que..."(Exibir notificação se usuário instalou o Health Monitor: ’Notificação do Health Moni-

tor: Seus sinais vitais estão irregulares!’)Alguma coisa não está certa... (Ver Figura B.8).(Se o usuário instalou o Health Monitor)(Se o usuário instalou o Health Assist)Uma equipe de emergência está a disposição para ser enviada para sua residência.(Fim - Se o usuário instalou o Health Assist)(Se o usuário não instalou o Health Monitor)Você precisa de socorro o mais rápido possível, o que deseja fazer?(Fim - Se o usuário instalou o Health Monitor)(Se o usuário instalou o Health Monitor)(Se o usuário instalou o Health Assist)

Opção 1: Confirmar equipe de emergência - Vai para o Passo 14a

(Se o usuário não instalou o Health Assist)

Opção 1: Solicitar equipe de emergência - Vai para o Passo 13a

Opção 2: Ligar para alguém - Vai para o Passo 13b

Opção 3: Buscar socorro - Vai para o Passo 13c

(Fim - Se o usuário instalou o Health Assist)(Se o usuário não instalou o Health Monitor)

Opção 1: Ops :( - Vai para o Passo 14b

(Fim - Se o usuário instalou o Health Monitor)

B.1. ENREDO 147

Figura B.8: Imagem da tela de problema de saúde

B.1.36 (Passo 13a)

Você escolheu solicitar uma equipe de emergência conveniada ao Monitor Health.(Se o usuário instalou o Health Assist)Para utilizar este serviço é necessário pagar uma taxa de 1500,00, além dos custos

hospitalares.(Se o usuário não instalou o Health Assist)Este serviço já havia sido adquirido por você no ato da assinatura.(Fim - Se o usuário instalou o Health Assist)

Opção 1: Confirmar o interesse - Vai para o Passo 14a

Opção 2: Cancelar solicitação - Vai para o Passo 14b

B.1.37 (Passo 13b)

Você escolheu ligar para alguém.Digite o telefone

B.1. ENREDO 148

(Exibir teclado de telefone).

Opção 1: (Condição: Fez a ligação) Seguir - Passo 14a

B.1.38 (Passo 13c)

Você escolheu buscar socorro.Você começou a sentir tontura e muita dor no peito. Como estava sozinho em casa,

ninguêm pôde prestar socorro.Você saiu cambaleante pela rua e tentou usar o carro do vizinho que estava estacionado

logo a frente. Sem muitas chances, você acabou desmaiando.Não havia como alguém descobrir o que estava acontecendo, já que você era novo na

cidade e não conhecia ou era conhecido por ninguém. Você foi encontrado morto pelos vizinhos.Horas depois descobriu-se que você teve um infarto, agravado pelo diabetes, colesterol e pelavida sede

(Fim da história)

B.1.39 (Passo 14a)

"Olá... Bem vindo de volta... Por muito pouco você não partia dessa para melhor, hein?Graças ao Health Monitor você pôde ser socorrido a tempo. Você se lembra quem é? Sabe medizer seu nome?"

(Ler nome inserido no formulário).(Se o nome fornecido for igual ao do perfil) “Meu nome é <nome inserido no formulário>

...".“Vê-se que não houve grande danos à sua memória.” (Se o nome fornecido não for igual

ao do perfil)“Não lembro meu nome..."“Fique calmo tudo está sob controle.... ainda temos alguns outros exames a serem feitos,

mas logo você ficará bem."(Fim - Se o nome fornecido for igual ao do perfil)"Você está no Hospital Saint Joseph, no centro de Privus."(Se o usuário instalou o Health Assist)"Nossa equipe recebeu uma notificação de que havia algo errado com seus sinais vitais e

uma ambulância foi enviada para sua casa."(Se o usuário não instalou o Health Assist)(Se o usuário instalou o Health Monitor)(Se o usuário ligou para 190)"No desespero você acabou ligando para a Polícia Militar."(Se o usuário ligou para 192)

B.1. ENREDO 149

"No desespero você acabou ligando para o Serviço Público de Remoção de Doentes(ambulância)."

(Se o usuário ligou para 193)"No desespero você acabou ligando para o Corpo de Bombeiros."(Se o usuário ligou para 194)"No desespero você acabou ligando para a Polícia Federal."(Se o usuário ligou para 197)"No desespero você acabou ligando para a Polícia Civil."(Se o usuário ligou para algum outro número)"No desespero você acabou ligando para um civil, que anotou seu telefone e ligou para a

emergência."(Fim - Se o usuário ligou. . . )"Eles rastrearam seu telefone e descobriram sua localização. Ainda bem que você havia

habilitado o serviço; foi uma sábia escolha."(Se o usuário não instalou o Health Monitor)"Foi difícil descobrir sua localização. Como você não habilitou o serviço de localização,

uma equipe técnica teve que entrar em ação, para que então pudessem descobrir e rastrear seuIMEI e, finalmente, achar sua localização."

(Fim - Se o usuário instalou o Health Monitor)"Quando chegaram, te encontraram caído em frente ao sofá, TV ligada, parte de um

sanduíche jogado ao seu lado.O atendimento foi muito rápido, ainda bem que foram notificadosem tempo."

(Fim - Se o usuário instalou o Health Assist)"Você já foi medicado e está se recuperando. Provavelmente terá que ficar mais um ou

dois dias aqui em observação, mas posso assegurar que seu quadro é estável e você não corremais riscos."

(Fim da história)

B.1.40 (Passo 14b)

Você até que tentou buscar socorro...Você começou a sentir tontura e muita dor no peito. Como estava sozinho em casa,

ninguém pôde prestar socorro.Você saiu cambaleante pela rua e tentou usar o carro do vizinho que estava estacionado

logo a frente. Sem muitas chances, você acabou desmaiando.Não havia como alguém descobrir o que estava acontecendo, já que você era novo na

cidade e não conhecia ou era conhecido por ninguém. Você foi encontrado morto pelos vizinhos.Horas depois descobriu-se que você teve um infarto, agravado pelo diabetes, colesterol e pelavida sedentária.

B.2. SERVIÇOS E APLICAÇÕES 150

Figura B.9: Serviço de Localização, Gugou Maps

(Fim da história)

B.2 Serviços e Aplicações

B.2.1 Gugou Maps

Este serviço dá ao participante acesso ao mapa da cidade e permite que ele possa selocalizar durante as etapas de subrotina de navegação. Também é disponibilizado um lista deendereços na cidade que pode facilitar o deslocamento baseando em objetivo, como por exemplo,“vá ao mercado”, ou ainda “faça o pagamento de uma conta”.

Este serviço acessa o perfil Dados de Localização do participante.

B.2.2 Fakebook

Este serviço permite que os participantes do Estudo de Caso possam trocar mensagensentre si.

O propósito principal do Fakebook é que, para os participantes que se recusarem ainstalar o serviço de localização, o Gugou Maps, ele seja como um recurso backup, sendopossível solicitar a ajuda de algum amigo que tenha acesso ao mapa durante as etapas desubrotina de navegação.


Figura B.10: Aplicação de Localização, Gugou Maps

Este serviço acessa os perfis Dados Pessoais e Dados de Relacionamento do partici-pante.

B.2.3 Twistter

Este serviço permite que os participantes do Estudo de Caso possam enviar twistters.O propósito principal do Twistter é que, nas etapas de navegação com chuva, ele pode se

usado para obter informações sobre quais ruas estão alagadas e cujo tráfego deve ser evitado.Caso o participante não tenha instalado, ele não terá essa informação de outra fonte.



Figura B.11: Serviço Rede Social, Fakebook

B.2.4 Check-in

Este serviço permite que o participante tire várias fotos, simulando o mesmo procedi-mento de check-in que existem em aplicação como Facebook e Foursquare. Na história, elegarante direito a desconto quando participante estiver na lanchonete Burger Queen.


B.2.5 Smart Meter

Este serviço faz o monitoramento (fictício) do consumo de energia elétrica nos equipa-mentos domésticos.

Não existe nenhum propósito específico dentro da história. O único objetivo dele é testarse o usuário expõe seus dados de consumo. Ao longo do decorrer da história, o valor de consumodos equipamentos vai aumentando, de acordo com parâmetros fixos, para transmitir a sensaçãode realidade para o participante.

Este serviço acessa o perfil Dados de Consumo do participante.

B.3. SUBROTINAS 153

Figura B.12: Aplicação Rede Social, Fakebook

B.2.6 Health Monitor e Health Assist

Estes serviços oferecem, respectivamente, um monitor (fictício) de sinais vitais e umserviço de atendimento emergencial onde quer que o participante supostamente esteja na cidade.

O Health Monitor permite ao participante saber com antecedência que não está bem desaúde, criando a possibilidade de sobrevivência na história.

O Health Assist está vinculado à compra do Health Monitor e me permite que o usuário,uma vez que notificado que há algo errado com sua saúde, possa ser socorrido pelo atendimentoemergencial, garantindo sua sobrevivência no jogo.

Estes serviços acessam o perfil Dados Médicos do participante.

B.3 Subrotinas

B.3.1 Navegação

A subrotina de navegação ocorre em três momentos na história.A primeira vez que ela aparece, o participante se perdeu durante o tour e deve retornar

para a entrada da cidade; a segunda aparição, o participante que escolhe pagar sua conta deenergia com dinheiro, deve dirigir-se até algum local onde possa fazê-lo; na terceira e últimaaparição, o participante deve deslocar-se do Burger Queen até sua casa. Em todas as situações, ofuncionamento é basicamente o mesmo, conforme explicado a seguir.

Como pode-se ver na Figura 6.1, é mostrado na parte superior da tela onde o participantese encontra e qual o objetivo, o destino, a ser alcançado. O mapa só é exibido para os participantesque instalaram o serviço de localização.

Na parte inferior, o usuário pode escolher entre entrar em algum estabelecimento, sendoeste o objetivo ou não, ou seguir para algum dos destinos disponíveis. O trajeto só é concluido

B.3. SUBROTINAS 154

Figura B.13: Serviço Rede Social, Twistter

com sucesso quando o participante “entra” em seu destino.

B.3.1.1 Navegação com Chuva

A diferença do trajeto com chuva é que o participante tem uma quantidade limitada detentativas para chegar até seu destino, onde cada tentativa é contada quando uma nova rua ouestabelecimento é escolhido. Daí a importância do uso do Fakebook ou do Gugou Maps e doTwistter. O número de tentativas representa o combustível do automóvel em que o participanteestá; caso o número de tentativas tenha sido excedido, ele não poderá continuar seu trajeto e ahistória acaba.

B.3. SUBROTINAS 155

Figura B.14: Aplicação Rede Social, Twistter

Figura B.15: Aplicação check-in

B.3. SUBROTINAS 156

Figura B.16: Serviço de Medição de Energia Elétrica Inteligente

B.3. SUBROTINAS 157

Figura B.17: Aplicação de Medição de Energia Elétrica Inteligente

Figura B.18: Serviço de Monitoramento de Estado de Saúde

B.3. SUBROTINAS 158

Figura B.19: Serviço Atendimento Emergencial

B.3. SUBROTINAS 159

Figura B.20: Aplicação de Monitoramento de Estado de Saúde

go!sip: um framework de privacidade para cidades inteligentes baseado em pessoas como sensores

Documents