A silenciosa reformulação da privacidade online na UE e além

Por Hans Rempel, CEO da Diode.

Descubra as principais notícias e eventos do setor fintech!

Subscreva a newsletter do FinTech Weekly

Lido por executivos da JP Morgan, Coinbase, Blackrock, Klarna e mais

Em todo o mundo, os governos estão convergindo para uma nova teoria de segurança online: para tornar a internet mais segura, a comunicação privada deve ser passível de inspeção.
O que está a mudar agora não é apenas a forma como a privacidade é violada, mas como ela é definida na lei e no código.

A proposta de Controle de Chat da UE é o exemplo mais visível, mas não é uma exceção. Os EUA, Reino Unido, Austrália e várias jurisdições asiáticas estão avançando com variações da mesma ideia através de mandatos de verificação de idade, varredura no lado do cliente, responsabilidade ampliada das plataformas e frameworks de deteção ‘voluntários’.

Apesar de diferentes sistemas políticos, essas propostas compartilham a mesma suposição fundamental de que a comunicação privada deve ser tecnicamente acessível aos reguladores.

Cada proposta é apresentada como algo restrito e direcionado, mas juntas representam uma mudança estrutural de policiamento de conteúdo prejudicial para monitoramento preventivo da comunicação, e de regulação das plataformas para regulação da infraestrutura da mensagem privada em si.

É uma reformulação global do que significa privacidade online.

Privacidade Reescrita

Durante anos, a erosão da privacidade foi atribuída a violações de dados, empresas mal comportadas ou agências de inteligência excessivamente intrusivas. Hoje, as mudanças mais relevantes estão a acontecer dentro das próprias políticas. A privacidade não está a ser quebrada por acidente; está a ser redesenhada na arquitetura da internet.

A justificação é quase sempre a segurança. Mas o mecanismo é sempre a mesma tentativa de expandir o escopo do que os governos e plataformas devem inspecionar.

E, uma vez que a infraestrutura de inspeção existe, raramente permanece limitada ao seu propósito original. A varredura direcionada expande-se rapidamente com a verificação de identidade, monitorização de comportamentos e retenção de dados, tornando-se requisitos básicos de “precaução”.

A comunicação privada já não é vista como um direito a proteger, mas como uma superfície de risco a gerir, criando assim uma internet onde a privacidade se torna condicional em vez de fundamental.

A Normalização da Vigilância ‘Voluntária’

Um dos desenvolvimentos mais subtis é o aumento de frameworks de varredura ‘voluntários’. Estes são frequentemente apresentados como um compromisso onde as plataformas podem escanear mensagens privadas, mas não são obrigadas a fazê-lo.

No entanto, uma vez que a varredura seja legalizada, incentivada ou tecnicamente padronizada, a infraestrutura torna-se permanente. O debate deixa de ser se as mensagens privadas devem ou não ser escaneadas, passando a focar em quem tem acesso e em que circunstâncias.

A varredura voluntária certamente suaviza a vigilância, mas também a normaliza, mudando a janela de Overton de “deveriam as mensagens privadas ser escaneadas?” para “qual a quantidade adequada de varredura?”.

Os debates sobre varredura no lado do cliente mostram como a deteção ‘opcional’ rapidamente se torna uma expectativa básica.

Paraíso Não Foi Perdido. Foi Centralizado

Tim Berners-Lee lamentou que a web aberta e interoperável que imaginou tenha sido substituída por um sistema dominado por pontos de estrangulamento corporativos e incentivos à recolha de dados. Nesse desvio, sistemas centralizados convidam ao controlo centralizado.

Quando a comunicação privada passa por poucos pontos de estrangulamento, esses pontos tornam-se inevitavelmente alvos. As plataformas dominantes tornam-se pontos de alavancagem natural para políticas e vigilância.

GenAI Transformou a Segurança Centralizada numa Passivo

O crescimento da IA generativa acelerou esta tendência. Ataques de phishing, recolha de credenciais e campanhas de engenharia social tornaram-se automatizados, personalizados e muito mais eficazes. A resposta da indústria de segurança tem sido previsível… implementar mais defesas alimentadas por IA que requerem análise de mais dados das empresas.

Isto cria um paradoxo perigoso. Um fornecedor de segurança com acesso a dados sensíveis torna-se o honeypot definitivo. Se um atacante consegue invadir o fornecedor, obtém acesso não só às informações de uma empresa, mas aos dados agregados de todos os clientes. Alguns arquitetos de segurança defendem que, numa corrida armamentista de IA, a única estratégia vencedora é eliminar completamente o alvo. Em vez de construir perímetros defensivos cada vez maiores em torno de bases de dados centralizadas, é necessário um movimento em direção a segurança granular, de conhecimento zero — sistemas onde os fornecedores não podem aceder aos dados do utilizador, mesmo que queiram.

Nestas arquiteturas, os dados nunca tocam na infraestrutura do fornecedor. Não há servidores a comprometer, nem bases de dados a vazar. Tudo é roteado peer-to-peer com encriptação automática, eliminando o problema do honeypot.

A história mostra que, quando a regulamentação foca na infraestrutura em vez do comportamento, os utilizadores adaptam-se. Mudam para plataformas offshore, redes informais ou ferramentas desenhadas para evitar pontos de estrangulamento centralizados. Essas regulamentações não impedem o comportamento; apenas transferem o custo para quem regula.

Uma Nova Resposta Arquitetural Está a Surgir

Em resposta à pressão regulatória e à exploração impulsionada por IA, os tecnólogos estão a repensar a arquitetura da comunicação. Em vez de encaminhar mensagens privadas através de servidores centralizados que podem ser obrigados, inspecionados ou invadidos, estão a construir sistemas onde os utilizadores possuem a sua identidade, dados e conexões.

Esta é a mudança arquitetural que Berners-Lee desejava — um retorno à web peer-to-peer, onde o controlo é distribuído, não concentrado. Blockchains públicas como o Internet Computer (ICP) já suportam projetos que incorporam este modelo, combinando transparência com privacidade e restabelecendo direitos reais de propriedade digital. Vários projetos no ecossistema estão a explorar modelos de comunicação peer-to-peer onde identidade, dados e roteamento permanecem totalmente controlados pelo utilizador. Nestes sistemas, a privacidade torna-se uma propriedade da arquitetura. Não há servidores a confiar, intermediários a comprometer ou autoridades centrais a pressionar.

A Verdadeira Questão

O debate sobre segurança online é frequentemente enquadrado como uma troca entre privacidade e proteção. Mas a questão real é muito mais fundamental: queremos uma internet onde a privacidade seja condicional — concedida quando conveniente, retirada quando necessário — ou uma internet onde a privacidade seja a base sobre a qual a regulamentação deve atuar?

Porque, uma vez que a privacidade se torne condicional, deixa de ser um direito. Passa a ser uma permissão. E permissões podem sempre ser revogadas.

Sobre o autor

Hans Rempel é CEO da Diode, uma empresa que constrói infraestrutura de comunicação peer-to-peer e segurança de conhecimento zero. Trabalha na interseção de privacidade, arquitetura descentralizada e protocolos de internet de próxima geração. Sua pesquisa e escrita focam em como a regulamentação e a tecnologia moldam o futuro da autonomia digital.