Welington Manoel da Silva

GO!SIP: UM FRAMEWORK DE PRIVACIDADE PARA CIDADES
INTELIGENTES BASEADO EM PESSOAS COMO SENSORES

Dissertação de Mestrado

Universidade Federal de Pernambuco
posgraduacao@cin.ufpe.br

www.cin.ufpe.br/~posgraduacao

RECIFE
2014

Universidade Federal de Pernambuco
Centro de Informática
Pós-graduação em Ciência da Computação

Welington Manoel da Silva

GO!SIP: UM FRAMEWORK DE PRIVACIDADE PARA CIDADES
INTELIGENTES BASEADO EM PESSOAS COMO SENSORES

Trabalho apresentado ao Programa de Pós-graduação em
Ciência da Computação do Centro de Informática da Universidade Federal de Pernambuco como requisito parcial para
obtenção do grau de Mestre em Ciência da Computação.

Orientador: Prof. Dr. Vinicius Cardoso Garcia
Co-Orientador: Prof. Dr. Alexandre Alvaro

RECIFE
2014

Catalogação na fonte
Bibliotecária Jane Souto Maior, CRB4-571

S586g Silva, Welington Manoel da
Go!SIP: um framework de privacidade para cidades
inteligentes baseado em pessoas como sensores / Welington
Manoel da Silva – Recife: O Autor, 2014.
159 f.: il., fig., tab.
Orientador: Vinicius Cardoso Garcia.
Dissertação (Mestrado) – Universidade
Pernambuco. CIn, Ciência da Computação, 2014.
Inclui referências.

Federal

1. Engenharia de software. 2. Privacidade. I. Garcia, Vinicius
Cardoso. (orientador). II. Título.
005.1

CDD (23. ed.)

UFPE- MEI 2015-13

de

Dissertação de Mestrado apresentada por Welington Manoel da Silva à PósGraduação em Ciência da Computação do Centro de Informática da Universidade
Federal de Pernambuco, sob o título “Go!SIP: Um Framework de Privacidade
para Cidades Inteligentes Baseado em Pessoas Como Sensores'” orientada pelo
Prof. Vinicius Cardoso Garcia e aprovada pela Banca Examinadora formada pelos
professores:

______________________________________________
Prof. Kiev Santos da Gama
Centro de Informática/UFPE
______________________________________________
Prof. Fabrício Benevenuto de Souza
Departamento de Ciência da Computação/ UFMG
_______________________________________________
Prof. Vinicius Cardoso Garcia
Centro de Informática /UFPE

Visto e permitida a impressão.
Recife, 25 de agosto de 2014.
___________________________________________________
Profa. Edna Natividade da Silva Barros
Coordenadora da Pós-Graduação em Ciência da Computação do
Centro de Informática da Universidade Federal de Pernambuco.

À Deus.
À minha família.
Dedico.

Agradecimentos
Em primeiro lugar, gostaria de agradecer a Deus, que tem sido o meu refúgio e incondicional amigo. “(. . . ) It would take all day to tell You how I thank You". Foram tantas as
dificuldades e oportunidades durante esta etapa, que me fazem ter a certeza de que eu nunca teria
chegado aqui sem Teu auxílio.
À minha família, por entender as madrugadas em claro, churrascos e passeios que não
pude ir e, apesar das dificuldades, obrigado por acreditar em mim e em meu potencial. Aos meus
pais, José Aparecido e Sandra, em especial, obrigado pelos sacrifícios e pelas orações; não há
nada que eu possa fazer para retribuir o que fizeram por mim. Às minhas irmãs, Renata e Noemi,
obrigado por cuidarem de mim e pela compreensão nos dias em que a luz teve que ficar acesa até
de madrugada; lembrem-se que dá pra ir mais longe, sempre.
À Letícia, minha namorada e revisora, que me apoiou desde o início, mesmo com a
dificuldade da distância e a ausência, obrigado por ser paciente, por compartilhar, por ouvir,
cuidar, ajudar e me fazer olhar para cima e à frente, quando tudo o que eu queria era desistir.
Ao meu amigo e irmão de coração, Gustavo Henrique Rodrigues Pinto Tomas, “brow”,
a “fase Recife” deste mestrado ficou bem mais engraçada e suportável com nossas trapalhadas.
Neste tempo de amizade e parceria eu aprendi com você lições que levarei para a vida toda; seu
foco e obstinação em vencer este desafio foram realmente muito inspiradores. Obrigado pelas
discussões, críticas, feedbacks, tanto a nível pessoal, profissional e acadêmico e, uma vez mais,
obrigado por “botar a mão na massa” e me ajudar no desenvolvimento da aplicação.
Ao meu orientador Vinicius Garcia, obrigado por aceitar o desafio do trabalho à distância.
A liberdade que me permitiu, desde o momento de escolha do tema, no desenvolvimento e
direcionamento da proposta, aliada à confiança transmitida e os eventuais “empurrõezinhos”
me proporcionaram um grande aprendizado. O fato de concordar em explorar um assunto,
absolutamente novo e complexo, demonstra maturidade e entusiasmo, elementos fundamentais
para resgatar, na academia, o apreço pela pesquisa que tem impacto prático na vida das pessoas.
Ao meu coorientador Alexandre Alvaro, por apresentar a oportunidade e compartilhar
sua experiência. Aquela conversa descontraída que tivemos, assim que o projeto de mestrado
foi aprovado, foi uma verdadeira injeção de encorajamento. Obrigado pela disponibilidade em
propor/discutir/questionar as ideias e sempre propor um ”mas, e se. . . ”; isso, sem dúvida, me
estimulou a ir um tanto mais longe do que eu imaginava que conseguia.
Aos meus amigos do Elyon Music e do Grupo Elyon, o tempo que passei com vocês me
ajudou a não perder a sanidade.
Ao Centro de Estudos e Sistemas Avançados do Recife, obrigado pela credibilidade e
apoio no desenvolvimento desse mestrado.
Finalmente, obrigado a todos que, de alguma forma, colaboraram com este trabalho.

Para ser grande, sê inteiro: nada
Teu exagera ou exclui
Sê todo em cada coisa. Põe quanto és
No mínimo que fazes.
Assim em cada lago a lua toda
Brilha, porque alta vive.
—RICARDO REIS (Fernando Pessoa)

Resumo
O crescimento desenfreado da população nos centros urbanos afeta diretamente a provisão
de serviços concebidos para suprir às necessidades dos cidadãos. Com isso, academia e na
indústria discutem que, grande parte das cidades, não contam com serviços básicos (como
transporte, energia elétrica, água, saneamento básico, saúde pública, educação, segurança
pública, etc.) devidamente preparados para suportar tamanho crescimento, nem mesmo possuem
a infraestrutura necessária para gerenciar suas consequências.
Neste cenário se estabelece o conceito de Cidades Inteligentes, empregando Tecnologias
de Informação e Comunicação (TICs) para solucionar ou minimizar problemas no âmbito urbano
ligados à provisão de serviços, processando dados coletados de entidades imersas neste contexto,
a fim de que se entenda a dinâmica de funcionamento da cidade, permitindo compreender os
problemas, identificar falhas, propor e implementar soluções e melhorias, adequadas à sua
realidade, visando melhorar a qualidade de vida dos cidadãos.
Dentre os dados coletados para o propósito citado, vindo de sensores instalados no
ambiente, de dispositivos móveis, etc., existe uma quantidade significativa de dados pessoais,
que podem ser analisados e combinados - divergindo do objetivo inicial - gerando situações que
comprometam a privacidade individual. Com as informações geradas a partir deste processo,
organizações privadas e públicas podem beneficiar-se, explorando as necessidades dos indivíduos
monitorados ao deter mais informação e conhecimento sobre o indivíduo do que ele próprio.
Este panorama reflete a forma como nossos dados são predominantemente tratados atualmente,
configurando um paradigma centrado em dados, no qual o indivíduo, seus direitos e preferências
são mantidos em segundo plano.
Considerando esse contexto, este trabalho realiza um estudo sobre propostas de privacidade para diversos domínios inteligentes, entendidos como peças essenciais na composição de
Cidades Inteligente, extraindo os requisitos abordados por esses trabalhos, utéis na construção
do Go!SIP, um framework de privacidade para Pessoas como Sensores.
A implementação dos requisitos selecionados para avaliação fundamentou-se em uma
abordagem quantitativa, baseada na hipótese de que essa abordagem facilita a compreensão do
indivíduo, deixando-o ciente dos riscos, e menos propenso a expor seus dados pessoais. Para
execução da avaliação utilizou-se o formato de Estudo de Caso, através de storytelling e um
gamebook interativo, simulando diferentes cenários de exposição de dados em um ambiente
urbano. A abordagem quantitativa de implementação dos requisitos mostrou-se favorável à
hipótese inicial, repelindo os usuários das situações que requeriam exposição de suas informações
pessoais, demonstrando, dentro das restrições estabelecidas, o potencial da proposta.
Palavras-chave: Cidades Inteligentes. Privacidade. Framework. Pessoas como Sensores.

Abstract
The unbridled population growth in urban centers affects directly the provision of services
designed to meet the needs of citizens. Therefore, academy and industry discuss that most cities
do not have basic services (such as transportation, electricity, water, sanitation, public health,
education, public safety, etc.) adequately prepared to support such growth or even have the
necessary infrastructure to manage its consequences.
It is within this scenario that it is established the concept of Smart Cities, in which
Information and Communication Technologies (ICTs) are employed to solve or minimize
problems in urban areas, related to the provision of services, processing data collected from
entities immersed in such context in order to understand the dynamics of the city, allowing to
understand the problems, identify gaps, propose and implement solutions and improvements,
suitable to its reality, aiming to improve the quality of life of citizens.
Among the data collected for the mentioned purpose, originated from sensors installed in
the environment, mobile devices, the Internet itself, etc., there is a significant amount of personal
data, that can be analyzed and combined - diverging from the original goal - creating situations
that compromise individual privacy. With the information generated from this process, private
and public organizations might benefit by exploring the needs of individuals monitored, since they
have more information and knowledge about the individual than himself. This scenario reflects
the way our data are predominantly handled currently by setting up a data-centric paradigm, in
which the individual, his rights and preferences are kept in background.
Considering this context, this work performs a study on privacy proposals for several
smart domains , seen as essential parts in the composition of a Smart City, extracting the
requirements addressed by these works, useful for building Go!SIP, a privacy framework for
People as Sensors.
The implementation of the selected requirements for the evaluation process was based on
a quantitative approach, based on the hypothesis that it facilitates the understanding of individual,
making him aware of the risks, and less prone to expose his personal data. For conducting the
evaluation a case study was applied, using storytelling and an interactive gamebook, simulating
different scenarios of data exposure in an urban environment. The quantitative implementation of
the requirements was favorable to the initial hypothesis, repelling users of situations that required
exposure of their personal information, demonstrating, within the established constraints, the
potential of the proposal.
Keywords: Smart Cities. Privacy. Framework. People as Sensors.

Lista de Figuras
5.1

Diagrama dos Níveis de Implementação de Privacidade que compõe o Go!SIP .

6.1
6.2
6.3
6.4

Exemplo da tela do Go!SIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Heat map da história utilizada no Estudo de Caso . . . . . . . . . . . . . . . . 102
Índice de Proteção Individual (IPI) Médio por perfil, para participantes com
acesso às métricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
IPI Médio por perfil, para participantes sem acesso às métricas . . . . . . . . . 103

B.1
B.2
B.3
B.4
B.5
B.6
B.7
B.8
B.9
B.10
B.11
B.12
B.13
B.14
B.15
B.16
B.17
B.18
B.19
B.20

Formulário de Dados Pessoais . . . . . . . . . . . .
Formulário de Dados Financeiros (Fictícios) . . . . .
Formulário de Dados de Consumo (Fictícios) . . . .
Formulário de Dados de Localização (Fictícios) . . .
Formulário de Dados Médicos (Fictícios) . . . . . .
Formulário de Dados de Relacionamento . . . . . . .
Formulário de Serviço eGov . . . . . . . . . . . . .
Imagem da tela de problema de saúde . . . . . . . .
Serviço de Localização, Gugou Maps . . . . . . . .
Aplicação de Localização, Gugou Maps . . . . . . .
Serviço Rede Social, Fakebook . . . . . . . . . . . .
Aplicação Rede Social, Fakebook . . . . . . . . . .
Serviço Rede Social, Twistter . . . . . . . . . . . . .
Aplicação Rede Social, Twistter . . . . . . . . . . .
Aplicação check-in . . . . . . . . . . . . . . . . . .
Serviço de Medição de Energia Elétrica Inteligente .
Aplicação de Medição de Energia Elétrica Inteligente
Serviço de Monitoramento de Estado de Saúde . . .
Serviço Atendimento Emergencial . . . . . . . . . .
Aplicação de Monitoramento de Estado de Saúde . .

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

76

126
127
128
129
130
131
141
147
150
151
152
153
154
155
155
156
157
157
158
159

Lista de Tabelas
2.1

Mapeamento Requisitos-Trabalhos

. . . . . . . . . . . . . . . . . . . . . . .

28

4.1
4.2
4.3

Quantidade de trabalhos retornados por biblioteca digital . . . . . . . . . . . .
Filtros aplicados no processo de revisão . . . . . . . . . . . . . . . . . . . . .
Uso de requisitos de privacidade em Smart X por domínio estudado . . . . . .

54
55
67

5.1
5.2

Classificação do requisitos de acordo com os paradigmas PCD, PCU e PCS . .
Domínios estudados e seu paradigma predominante . . . . . . . . . . . . . . .

75
78

6.1
6.2
6.3
6.4
6.5

Impacto dos Serviços no score do participante . . . . . . . . . . . . . . . . . . 96
Impacto dos Passos no score do participante . . . . . . . . . . . . . . . . . . . 96
Desistência nos passos da história . . . . . . . . . . . . . . . . . . . . . . . . 98
Aquisição de serviços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Índice de Exposição (IE) médio por perfil, para participantes sem acesso às
métricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

A.1 Motores e termos de busca utilizados na Questão de Pesquisa 1 . . . . . . . . . 122
A.2 Motores e termos de busca utilizados na Questão de Pesquisa 2 . . . . . . . . . 123
A.3 Data de execução das buscas . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

Lista de Acrônimos
API

Application Programming Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

BD

Big Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

CI

Cidade Inteligente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

CD

Cidade Digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

CE

Comissão Européia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

DPD

European Union Data Protection Data Protection Directive 95/46 . . . . . . . . . . . 43

GPS

Global Positioning System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

IPI

Índice de Proteção Individual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

IE

Índice de Exposição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

IoT

Internet das Coisas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

IPI

Índice de Proteção Individual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

M2M

Machine to Machine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

NPV

Nível de Proposição de Valor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

ONU

Organização das Nações Unidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

PCD

Paradigma Centrado no Dado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

PCU

Paradigma Centrado no Usuário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

PCS

Paradigma Centrado no Serviço . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

PS

Provedor de Serviço . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

TIC

Tecnologia de Informação e Comunicação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Sumário
1

2

3

4

Introdução
1.1 Motivação . . . . . . . .
1.2 Objetivos . . . . . . . .
1.3 Escopo Negativo . . . .
1.4 Principais Contribuições

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

Fundamentação Teórica
2.1 Cidades Inteligentes . . . . . . . . . . . . . . . . . . . . . .
2.1.1 Requisitos para Cidades Inteligentes: Um Overview .
2.1.2 Considerações . . . . . . . . . . . . . . . . . . . .
2.2 Privacidade . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3 Direcionamento . . . . . . . . . . . . . . . . . . . . . . . .
Pessoas Como Sensores em
Cidades Inteligentes
3.1 Pessoas Como Sensores . . . . . . . . . .
3.2 A Problemática . . . . . . . . . . . . . .
3.3 Pessoas Como Sensores, Leis e Big Data .
3.4 Privacidade Para Pessoas Como Sensores

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

Mecanismos de Privacidade em Smart X
4.1 Revisão Sistemática . . . . . . . . . . . . . . . . .
4.1.1 Metodologia . . . . . . . . . . . . . . . .
4.1.1.1 Processo de Busca . . . . . . . .
4.1.1.2 Processo de Seleção . . . . . . .
4.2 Mecanismos de privacidade propostos para Smart X
4.2.1 Smart Grids (SG) . . . . . . . . . . . . . .
4.2.2 Smart Buildings e Homes (SBH) . . . . . .
4.2.3 Smart Environment (SE) . . . . . . . . . .
4.2.4 Smart Spaces (SS) . . . . . . . . . . . . .
4.2.5 Smart Health (SH) . . . . . . . . . . . . .
4.2.6 Outros domínios e Abordagens (OD) . . .
4.3 Requisitos Comuns . . . . . . . . . . . . . . . . .
4.4 Resultados da Revisão . . . . . . . . . . . . . . .

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

16
17
21
22
23

.
.
.
.
.

25
25
27
30
31
33

.
.
.
.

34
36
40
43
47

.
.
.
.
.
.
.
.
.
.
.
.
.

51
53
53
53
54
56
56
58
60
62
65
65
67
70

5

6

7

Go!SIP, O Framework
5.1 Descrição do Go!SIP . . . . . . . . . . . . . . . . . . . . .
5.1.1 Classificação Baseada em Paradigmas . . . . . . . .
5.1.1.1 Paradigma Centrado no Dado (PCD) . . .
5.1.1.2 Paradigma Centrado no Usuário (PCU) . .
5.1.1.3 Paradigma Centrado no Serviço (PCS) . .
5.1.2 Classificação dos Requisitos . . . . . . . . . . . . .
5.2 Considerações e Aplicação do Go!SIP . . . . . . . . . . . .
5.3 Convergência de Paradigmas: Uma Abordagem Quantitativa
5.3.1 Definições preliminares . . . . . . . . . . . . . . .
5.3.2 Cálculo de Exposição . . . . . . . . . . . . . . . . .
5.3.2.1 Índice de Proteção Individual . . . . . . .
5.3.2.2 Cálculo de Precisão do Atributo . . . . . .
5.3.2.3 Índice de Exposição . . . . . . . . . . . .
5.3.3 Cálculo de Similaridade . . . . . . . . . . . . . . .
5.4 Rumo à Avaliação . . . . . . . . . . . . . . . . . . . . . . .
Avaliação do Framework
6.1 Uma Visão Geral Sobre Estudos de Caso . .
6.2 Escopo da Avaliação . . . . . . . . . . . .
6.3 Metodologia . . . . . . . . . . . . . . . . .
6.3.1 Storytelling . . . . . . . . . . . . .
6.3.2 Gamebooks . . . . . . . . . . . . .
6.3.3 Por Que Storytelling e Gamebook? .
6.4 Execução da Avaliação . . . . . . . . . . .
6.4.1 A Criação da História . . . . . . . .
6.4.2 Ferramentas . . . . . . . . . . . . .
6.4.3 Perfil de Participação . . . . . . . .
6.4.4 Desenvolvimento . . . . . . . . . .
6.5 Resultados . . . . . . . . . . . . . . . . . .
6.6 Ameaças à avaliação . . . . . . . . . . . .
Conclusão
7.1 Principais Conclusões .
7.2 Trabalhos Relacionados
7.3 Trabalhos Futuros . . .
7.4 Considerações Finais .

Referências

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

72
74
74
74
74
74
74
78
80
80
80
81
81
82
82
84

.
.
.
.
.
.
.
.
.
.
.
.
.

85
86
87
88
88
89
89
91
91
92
92
92
98
104

.
.
.
.

105
107
108
110
111
112

Apêndice

121

A Revisão Sistemática

122

B Go!SIP, a história
B.1 Enredo . . . . . . .
B.1.1 (Passo 0) .
B.1.2 (Passo 1) .
B.1.3 (Passo 2a) .
B.1.4 (Passo 2b) .
B.1.5 (Passo 2c) .
B.1.6 (Passo 3) .
B.1.7 (Passo 4a) .
B.1.8 (Passo 4b) .
B.1.9 (Passo 4c) .
B.1.10 (Passo 5a) .
B.1.11 (Passo 5b) .
B.1.12 (Passo 5c) .
B.1.13 (Passo 5d) .
B.1.14 (Passo 5e) .
B.1.15 (Passo 6b) .
B.1.16 (Passo 6c) .
B.1.17 (Passo 6d) .
B.1.18 (Passo 6e) .
B.1.19 (Passo 7a) .
B.1.20 (Passo 7b) .
B.1.21 (Passo 7c) .
B.1.22 (Passo 7d) .
B.1.23 (Passo 8a) .
B.1.24 (Passo 8b) .
B.1.25 (Passo 8c) .
B.1.26 (Passo 9a) .
B.1.27 (Passo 9b) .
B.1.28 (Passo 9c) .
B.1.29 (Passo 9d) .
B.1.30 (Passo 10a)
B.1.31 (Passo 11a)
B.1.32 (Passo 11b)
B.1.33 (Passo 11c)
B.1.34 (Passo 11d)

124
124
124
125
125
125
126
127
130
133
133
134
134
134
134
136
137
137
137
138
138
138
138
139
139
139
140
140
140
141
143
143
144
145
145
145

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

15
B.1.35 (Passo 12a) . . . . . . . . . . . .
B.1.36 (Passo 13a) . . . . . . . . . . . .
B.1.37 (Passo 13b) . . . . . . . . . . . .
B.1.38 (Passo 13c) . . . . . . . . . . . .
B.1.39 (Passo 14a) . . . . . . . . . . . .
B.1.40 (Passo 14b) . . . . . . . . . . . .
B.2 Serviços e Aplicações . . . . . . . . . . .
B.2.1 Gugou Maps . . . . . . . . . . .
B.2.2 Fakebook . . . . . . . . . . . . .
B.2.3 Twistter . . . . . . . . . . . . . .
B.2.4 Check-in . . . . . . . . . . . . .
B.2.5 Smart Meter . . . . . . . . . . .
B.2.6 Health Monitor e Health Assist .
B.3 Subrotinas . . . . . . . . . . . . . . . . .
B.3.1 Navegação . . . . . . . . . . . .
B.3.1.1 Navegação com Chuva

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

145
147
147
148
148
149
150
150
150
151
152
152
153
153
153
154

16

1
Introdução
What was once private is now public,
what was once hard to copy, is now trivial to duplicate,
what was once easily forgotten, is now stored forever.
—RON RIVEST (Reversal of defaults)

1.1. MOTIVAÇÃO

1.1

17

Motivação

A população do planeta está gradativamente deslocando-se para áreas urbanas. De acordo
com relatórios da Organização das Nações Unidas (ONU) e do Banco Mundial, em 1950, cerca
de 30% da população mundial vivia em áreas urbanas; desde então, este número quase duplicou
até 2014, aumentando para 54%, com a estimativa de atingir 66%, em meados de 2050 (United
Nations, 2007, 2011; The World Bank, 2013; United Nations, 2014).
Tamanho crescimento desenfreado traz consigo diversos problemas, no que diz respeito
à provisão de serviços urbanos. Entende-se por serviço urbano qualquer ação direcionada
a suprir necessidades básicas dos cidadãos, tais como eletricidade, água potável, transporte
público, segurança, saúde, educação, saneamento básico, tratamento de resíduos sólidos, etc.
A disponibilidade e efetividade destes serviços asseguram aos cidadãos uma qualidade de vida
digna, reforçando a concretização dos artigos 21, 22 e 25 da Declaração Universal dos Direitos
Humanos (Assembly, 1948).
O principal motivo para tamanho crescimento da população urbana mundial é que, por
natureza, as cidades geralmente oferecem maiores oportunidades de acesso aos serviços públicos
citados, para perfis de famílias de diferentes realidades econômicas; além disso, é nas cidades
que se espera encontrar um mercado de trabalho mais amplo e melhores condições de vida.
Entretanto, para que essas expectativas sejam materializadas, o Departamento de Assuntos Econômicos e Sociais da ONU (United Nations, 2014) aponta que se faz necessário uma
abordagem de planejamento e gerenciamento, na qual os serviços urbanos sejam providos de
forma igualitária e eficaz, sustentados por um conjunto vasto de informações sobre a cidade,
de onde se possa extrair as necessidades a serem supridas, falhas em processos urbanos, quais
medidas podem ser tomadas, bem como as evidências dos resultados das ações estabelecidas.
A grande dificuldade que se apresenta é que a grande parte das cidades - principalmente de
países subdesenvolvidos ou emergentes - não está devidamente preparada para suportar tamanho
crescimento, nem mesmo possui a infraestrutura necessária para gerenciar suas consequências
(Walravens, 2011).
É neste cenário que se estabelece o conceito de Cidade Inteligente (CI) (ou, em inglês,
Smart City). Apesar das diversas definições, é consenso afirmar que uma CI emprega tecnologia
para solucionar problemas no âmbito urbano.
No aspecto humano e social, uma CI implica em melhorias no cotidiano dos cidadãos,
com medidas implementadas ou suportadas por aparatos tecnológicos, promovendo acesso aos
serviços urbanos (Anthopoulos and Fitsilis, 2010).
No aspecto técnico, smart refere-se à conectividade onipresente, através de uma infraestrutura sofisticada de informação e comunicação, permitindo otimização no uso de recursos
finitos, materializando princípios como capacidade de adaptação às variáveis do contexto urbano,
recuperação em situações de falha, segurança contra investidas mal intencionadas e otimização
- soluções de problemas urbanos mais efetivas, melhor aproveitamento no uso de recursos e

1.1. MOTIVAÇÃO

18

maximização de resultados - na gestão de uma cidade, conforme discutido em (Nam and Pardo,
2011; Bowerman et al., 2000); estas tecnologias devem ser adaptadas ao ambiente urbano,
criando-se um contexto adequado à participação física e virtual dos cidadãos, num processo de
planejamento e gerenciamento “das partes” para o “todo”, ao contrário do que é feito atualmente
(Chillon, 2012).
De uma forma mais granular, uma cidade é inteligente quando utiliza Tecnologias de
Informação e Comunicação (TICs) de forma apropriada para prover serviços a comunidade permitindo participação democrática e estimulando o engajamento - melhorando a qualidade
de vida, enquanto cria um ambiente mais sustentável, com investimentos de ordem social e
infraestrutura moderna de comunicação, encorajando o desenvolvimento econômico através de
uma gestão integrada e eficiente (Nam and Pardo, 2011; Andreini et al., 2011; Asimakopoulou
and Bessis, 2011). Neste contexto, os cidadãos teriam acesso a uma variedade de tecnologias e
serviços avançados, usando qualquer dispositivo, em qualquer lugar e a qualquer hora (Andreini
et al., 2011; Chillon, 2012).
O assunto CI ganhou relevância nos últimos anos como solução para a crescente demanda
de serviços urbanos. Aliado ao crescimento sustentável, espera-se que o uso de TICs supra
eficientemente tanto objetivos tecnológicos quanto de negócios (Walravens, 2011). Porém,
mais que integração de sistemas, criação de infraestrutura ou implementação de serviços, o
aspecto tecnológico assume papel de facilitador na criação de um ambiente de inovação, que
requer criatividade, conectividade e colaboração; o aspecto social possui vital importância, tanto
quanto (ou mais que) o tecnológico, exigindo a compreensão da complexidade nas relações
sócio-tecnológicas do ecossistema urbano (Nam and Pardo, 2011).
Para que o conceito seja colocado em prática, é necessário entender a dinâmica de
funcionamento de cada cidade e, para tal, a coleta de dados é uma forma promissora que se
apresenta, permitindo compreender os problemas, identificar falhas e propor melhorias e novas
soluções para provisão de serviços, como sugerido em (United Nations, 2014).
Com o propósito de gerar informações, que por sua vez favoreçam a sustentação de
negócios, uma quantidade sem precedente de dados precisa ser coletada através de dispositivos,
pessoas e sensores conectados, gerados a partir de inúmeras transações por dia. Esses dados
podem ser coletados de forma ativa, nos modos tradicionais (como o preenchimento de formulários, questionários, etc.), ou ainda de forma passiva, como subproduto de outras atividades
ou por transações Machine to Machine (M2M)1 , sem ser necessariamente consentido - como
a própria navegação na Internet, informações de localização obtidas a partir de dispositivos
móveis (a exemplo do que foi noticiado em (Diallo, 2013)) ou imagens capturadas por camêras
de vigilância (como colocado em evidência em (Sentupta, 2013; Stone, 2013; Diallo, 2013;
Pincus, 2013)).
Disperso no meio dos dados coletados existe uma quantidade significativa de dados
pessoais, que podem ser analisados e combinados gerando ainda mais dados. Essa forma de
1A

comunicação M2M é caracterizada pela troca de infomações entre dispositivos sem interveção humana.

1.1. MOTIVAÇÃO

19

atuação se iguala em consequência à coleta passiva de dados, na qual o indivíduo é exposto sem
conhecimento ou consentimento (of Communications, 2012; Forum, 2013; Tene and Polonetsky,
2012). O advento de Big Data (BD) (Chui et al., 2011; Rubinstein, 2013), que implica na
consolidação do gerenciamento dessas grandes massas de dados, agrava o comprometimento da
privacidade.
Em Rubinstein (2013), fala-se sobre três dimensões que definem BD: i) disponibilidade
de dados em grande escala, coletados não somente a partir de transações online, mas através
do uso de dispositivos móveis (através de sensores embarcados ou de aplicações que permitam
compartilhamento de dados), interações com ambientes inteligentes (construídos através da
Internet das Coisas) (Atzori et al., 2010) e a Web 2.0, que permite a criação e compartilhamento
voluntários de dados pessoais e correlatos; ii) aumento na capacidade de armazenamento e
processamento dos computadores modernos, que viabiliza o modelo de computação em nuvem
e; iii) uso da capacidade computacional para armazenar e processar uma quantidade gigantesca
de dados.
As características citadas acentuam a vulnerabilidade inerente aos dados pessoais dispersos na referida massa de dados, quer sejam em sua forma primitiva (dado bruto) ou derivada
(gerada a partir de algum tipo de análise), e levantam diversos questionamentos quando se discute
a regulamentação de uma lei de proteção aos dados, principalmente no que tange a distinção
entre dados pessoais e não pessoais e à validade das leis sobre os dados gerados a partir de
análise e mineração de dados.
Em contrapartida, Tene e Polonetsky (Tene and Polonetsky, 2012) discutem a necessidade
de alinhar a evolução tecnológica e as realidades de negócio com os princípios de minimização
de dados e limitação no propósito de uso desses dados. Porém, esses princípios são divergentes
quando trata-se de BD, onde se prevê maximização de dados (quanto mais dados para analisar,
mais refinados e precisos serão os resultados) e a descoberta de correlações não aparentes e/ou
esperadas.
Além disso, um dos problemas imediatos de BD é o seu efeito incremental. Naturalmente,
quanto maior o acúmulo de dados pessoais, mais comprometida a privacidade. A literatura
mostra que, mesmo quando as grandes corporações tentam minimizar o impacto de suas ações
com algoritmos de deidentificação2 , é possível executar o processo reverso e associar novamente
os dados aos respectivos indivíduos (Narayanan and Shmatikov, 2008; Ohm, 2010). Ademais,
uma vez o dado exposto, torna-se praticamente impossível recuperá-lo e mantê-lo novamente em
segredo.
Outro problema é o desequilíbrio entre os benefícios de governos e corporações e dos
indíviduos monitorados. Primeiro, porque geralmente serviços online são oferecidos em forma
de barganha: você cede seus dados e recebe em troca um serviço “gratuito”; neste cenário, assim
como num jogo em que um jogador sabe de antemão as cartas do outro, governos e corporações
2 Processo

pertencem.

de reversão da anonimização aplicada ao dado, tirando quaisquer referências ao indivíduo a quem

1.1. MOTIVAÇÃO

20

têm em mãos mais informações sobre o indivíduo do que ele possui sobre si mesmo, facilitando
a exploração de suas necessidades, gerando vantagens unilaterais (Tene and Polonetsky, 2012);
segundo, o segredo de negócio das grandes corporações, ao invés de focado numa relação
equilibrada de proposição de valor, restringe-se a dados que somente elas tem posse, coletados,
utilizados e mantidos em condições alheias ao conhecimento público.
Este panorama reflete a forma como nossos dados são tratados, no qual o indivíduo, seus
direitos e suas preferências são mantidos em segundo plano.
A proposta a ser descrita neste trabalho vai em direção semelhante aos princípios estabelecidos em (Reding, 2012) e em (Computer Security Division, 2013) e apresenta o Go!SIP, um
framework para proteção de dados pessoais em CI, no qual se extrapola o uso do dado por si só e
permite-se o fluxo de conhecimento útil sobre a cidade e seus habitantes, em um processo de
colaboração mútua, fomentado pelo consenso e decisão informados, possibilitando a manutenção
da privacidade de dados pessoais.

1.2. OBJETIVOS

1.2

21

Objetivos
Frente à motivação apresentada, este trabalho possui os seguinte objetivos gerais:    

Investigar mecanismos de provisão de privacidade propostos em diferentes contextos
inteligentes (que essencialmente compõe o que chamamos de Cidades Inteligentes);
Elencar um conjunto de requisitos comuns que sejam adequados ao paradigma de
interesse para este trabalho, o paradigma centrado no indivíduo;
Conceber métricas quantitavas para representação dos requisitos de privacidade
levantados;
Identificar o impacto das métricas quantitativas concebidas na decisão de exposição
de dados pessoais.

Finalmente, como objetivo específico, este trabalho visa, em linhas gerais: 

Propor um framework para provisão de privacidade em Cidades Inteligentes, contemplando o conjunto de requisitos levantados, dentro do paradigma centrado no
indivíduo, priorizando direitos e preferências do usuário, permitindo-o tirar maior
proveito do trade-off entre proposição de valor e exposição de dados pessoais, para
os serviços consumidos.

1.3. ESCOPO NEGATIVO

1.3

22

Escopo Negativo

O contexto de CI é bastante amplo e complexo, bem como o problema da provisão de
privacidade que se pretende abordar.
Apesar dos requisitos elencados como sendo recomendáveis para uma solução de privacidade em CI, é possível que, por falha humana ou publicação posterior à data que foi realizado o
levantamento de trabalhos relacionados, alguma proposta com impacto significativo tenha ficado
de fora.
Os seguintes aspectos não fazem parte deste do escopo tratado neste trabalho:
Mecanismos de segurança da informação: Este aspecto, implementado através de hardware,
protocolos, algoritmos de criptografia, etc., não faz parte desta proposta. A própria
segurança da informação é um conceito a parte de privacidade, já que é possível manter
métodos e procedimentos seguros de acesso a informação e, ainda assim, violar o direito
de privacidade de alguém. A intenção aqui é estabelecer um conjunto de guias no nível
provedor/consumidor de serviços, do ponto de vista do usuário, já que a proposta tem
como fundamento o paradigma centrado no indivíduo.
Descrição formal de serviços: O conceito de serviços e suas políticas tratado neste trabalho é
bem superficial e não apresenta nenhum formalismo semântico de descrição da natureza
do serviço ou mesmo operações feitas entre eles, como comparação (similaridade), determinação de reputação etc., por tratar-se de um assunto ortogonal, que não é o foco deste
trabalho.

1.4. PRINCIPAIS CONTRIBUIÇÕES

1.4

23

Principais Contribuições

Como resultado do trabalho apresentado nesta dissertação, pode-se destacar as seguintes
contribuições:       

Estado da arte de privacidade em domínios inteligentes: Para a construção da
análise, este trabalho realiza uma extensiva pesquisa e análise de proposta de soluções
de privacidade para ambientes inteligentes, entendendo-se que tais ambientes compõe
uma CI;
Requisitos de privacidade para domínios inteligentes: Como resultado da revisão
sobre privacidade em ambientes inteligentes, este trabalho levanta um conjunto de
requisitos comuns de privacidade, recomendáveis para soluções propostas para o
contexto de cidades inteligentes;
Definição dos paradigmas de implementação de privacidade: Distinção dos três
paradigmas de implementação de privacidade encontrados na literatura: centrado em
dados, centrado no indivíduo e centrado no serviço;
Privacidade a longo prazo Este trabalho propõe uma discussão de privacidade que
difere dos demais encontrados na literatura - em que privacidade é vista como um
acontecimento imediato e episódico - dando-lhe um caráter mais urgente, sob uma
visão a longo prazo;
Métricas de auxílio à decisão de exposição: São apresentados três índices, a saber:
Cálculo de Precisão de dados, Índice de Sensibilidade de dados e Índice de Similaridade entre provedores de serviços, que servem de apoio ao indivíduo no momento da
decisão de exposição de seus dados;
Framework de privacidade para Cidades Inteligentes: Framework conceitual de
privacidade, contemplando os requisitos vistos como essenciais dentro do paradigma
de implementação de privacidade centrada no indivíduo;
Condução de avaliação baseada em storytelling: Os métodos tradicionais de avaliação encontrados na literatura, ou tinham envolvimento de aspectos de baixo nível, ou
descreviam um processo não adequado à proposta, por priorizar o dado, ao invés do
indivíduo. Com isso, buscou-se uma forma de estimular o engajamento dos usuários
através de um método lúdico e dinâmico, isolando-o das preocupações da vida real.

Além das contribuições citadas acima, seguem as publicações geradas ao longo da
elaboração e execução deste trabalho:

1.4. PRINCIPAIS CONTRIBUIÇÕES    

24

SILVA, W. M.; ALVARO, A.; TOMAS, G. H. R. P.; AFONSO, R. A.; DIAS, K.
L.; GARCIA, V. C.. Smart Cities Software Architectures: A Survey. In: the 28th
Annual ACM Symposium, 2013, Coimbra. Proceedings of the 28th Annual ACM
Symposium on Applied Computing - SAC ’13. New York: ACM Press, 2013. p.
1722.
SILVA, W. M.; TOMAS, G.H.R.P; GARCIA, V. C.; ALVARO, A.. Synaptic City:
An architectural approach using an OSGI Infrastructure and GMaps API to build a
City Simulator. In: The 15th International Conference on Enterprise Information
Systems (ICEIS), 2013, Anger. Proceedings of the 15th International Conference on
Enterprise Information Systems (ICEIS), 2013.
TOMAS, G.H.R.P; SILVA, W. M.; GARCIA, V. C.; ALVARO, A.. Smart Cities
Architectures: A Systematic Review. In: The 15th International Conference on
Enterprise Information Systems (ICEIS), 2013, Anger. Proceedings of the 15th
International Conference on Enterprise Information Systems (ICEIS), 2013.
AFONSO, R. A.; GARCIA, V. C.; ALVARO, A.; TOMAS, G.H.R.P ; SILVA, W.
M.. Br-SCMM: Modelo Brasileiro de Maturidade para Cidades Inteligentes. In: IX
Simpósio Brasileiro de Sistemas de Informação (SBSI), 2013, João Pessoa. Anais do
IX Simpósio Brasileiro de Sistemas de Informação (SBSI), Trilha Especial - SI e os
Desafios do Mundo Aberto, 2013.

25

2
Fundamentação Teórica
Do not go where the path may lead you,
Go instead where there is no path and leave a trail.
—RALPH WALDO EMERSON

2.1

Cidades Inteligentes

Os aglomerados humanos que hoje conhecemos como cidades surgiram quando os
antigos caçadores nômades aprenderam as primeiras técnicas agrícolas. Com os alimentos
excedentes que essas técnicas propiciavam, não era mais necessário que todos plantassem,
surgindo a possibilidade de comercialização tanto de alimentos, quanto de ferramentas e outros
bens. Com a necessidade de mão de obra para sustentar o comércio, algumas pessoas partiram
do campo para esses aglomerados.
As cidades modernas só surgiram após a Revolução Industrial (1760) quando novas
tecnologias, distribuídas em larga escala, permitiram que as cidades se expandissem e crescessem,
criando a necessidade e culminando no surgimento dos serviços urbanos que conhecemos hoje
(Montagna, 2014; Reader, 2004; Kite, 2014).
Sob o ponto de vista tecnológico, as cidades também sofreram diversas alterações ao
longo dos anos, utilizando TICs gradativamente, com o intuito de dar suporte aos serviços disponibilizados, de modo que sejam mais convenientes e acessíveis aos seus cidadãos e, principalmente,
possam ser providos de forma mais eficiente e eficaz.
Dentro do histórico de evolução de cidades comuns, as Cidades Digitais, a exemplo
das cidades cidades AOL (Fischetti, 2011) e das cidades de Kyoto e Amsterdam, criadas nos
anos 90, são as primeiras criações tecnológicas reportadas na literatura em direção ao que
hoje chamamos de CI (Ishida, 2002). Assim como nas Cidades Virtuais (Derudder, 2011), nas
Cidades Móveis (Anthopoulos and Fitsilis, 2010), nas Cidades Úbiquas (Gil-Castineira et al.,
2011; Lee et al., 2011) e nas Cidades Cognitivas (Mostashari et al., 2011), o objetivo era criar
uma infraestrutura que possibilitasse o acesso democrático a alguns serviços, disponibilizados

2.1. CIDADES INTELIGENTES

26

de forma virtual, diminuindo a dependência da intervenção humana em processos repetitivos
que poderiam ser automatizados. Estas abordagens, devido ao foco em serviços, acabavam
criando silos de serviços, segregando informações que, se compartilhadas entre departamentos e
organizações, poderiam gerar insumo para implementação de melhorias na gestão urbana.
Em seguida, esses modelos de cidades evoluíram da atenção aos serviços, para o fluxo
de informação que esses serviços manipulavam. As Cidades da Aprendizagem (Plumb et al.,
2007), as Cidades do Conhecimento (Anthopoulos and Fitsilis, 2010) e as Intelligent Cities
(Komninos and Sefertzi, 2009; Malek, 2009) visavam criar uma economia de informação
baseada em ações coletivas, oferecendo infraestrutura para troca de conhecimento, como suporte
à propagação do conhecimento e ao crescimento de negócios locais, estimulando o aprendizado,
o desenvolvimento tecnológico e a inovação, envolvendo pesquisa, desenvolvimento e evolução
de produtos e novas tecnologias, servindo de esteio para indústrias inovadoras.
Até este momento, o uso da tecnologia no contexto urbano havia priorizado o estabelecimento e manutenção de negócios, fundamentados em informações obtidas através dos
serviços providos, e negligenciado o aspecto humano inerente e o benefício coletivo da tarefa,
sem visar melhorias na qualidade de vida do cidadãos através dos serviços disponibilidos. Frente
à crescimento populacional apresentado na Motivação (Seção 1.1) deste trabalho, a atenção ao
modo como o ecossistema urbano e suas dinâmicas impactam na qualidade de vida dos seus
habitantes, assumem um carater emergencial. É neste cenário que se estabelecem as Cidades
Inteligentes (CIs).
O conceito de CIs surge da necessidade de gerir os diversos problemas decorrentes do
aumento da população nos grandes centros urbanos, afetando serviços como transporte, saúde
pública, gestão de redes de energia elétrica e água, saneamento básico, etc. (Winpenny, 2008).
De uma forma bem simplista, o gerenciamento de cada serviço sugere um monitoramento
constante, suportado por mecanismos de coleta de dados. Estes dados podem ser processados e
analisados, gerando como resposta alguma ação que assegure ou auxilie a provisão de serviços
urbanos em níveis satisfatórios de qualidade e efetividade. Numa visão mais complexa, distribuição e integração são requeridos, tanto em relação aos elementos monitorados quanto à aplicação
das ações necessárias; os dados devem ser relacionados e o processamento e a análise devem
levar em consideração a influência de agentes externos e de outros serviços.
A visão complexa da aplicação de gerenciamento de serviços - distribuída e integrada
- requer a utilização massiva de algum tipo de sensoriamento. É a partir de um conjunto de
sistemas de monitoramento que se pode construir uma visão holística (visão sistema de sistemas)
da cidade, dedicada à manutenção eficiente de seus serviços, com o objetivo de melhorar a
qualidade dos mesmos.
Especializando esta visão para um cenário onde cada objeto é provido de inteligência
e/ou tecnologia suficientes para transformá-lo em um provedor/consumidor de dados, é natural
imaginar as referidas distribuição e integração, onde cada nó (objeto) possui parte da informação
necessária para algum fim e tem uma responsabilidade específica de fazer esse dado chegar até

2.1. CIDADES INTELIGENTES

27

uma entidade centralizadora, capaz de processar e gerenciar os dados provenientes de diversas
(eventualmente centenas ou milhares) fontes de dado. A este conjunto de objetos agindo de
forma colaborativa, na busca de um propósito comum bem definido é chamado de Internet das
Coisas (IoT), que constitui um dos fundamentos tecnológios essenciais na implementação de
CIs (Atzori et al., 2010; Haubensak, 2011).
Muitos dos problemas enfrentados pelas grandes cidades poderiam ser evitados, ou
mesmo minimizados, se aplicado o gerenciamento de serviços, usando TICs (Haubensak, 2011;
Klein and Kaefer, ????). O monitoramento do tráfego em ruas e rodovias poderia alimentar
sistemas de informações capazes de redistribuir o fluxo de veículos, através de rotas calculadas
em tempo real; o monitoramento do consumo de energia elétrica de eletrodomésticos permitiria
otimizar sua operação, com base nos hábitos e necessidades dos residentes; desastres naturais
poderiam ser previstos em tempo hábil para que as ações adequadas pudessem ser tomadas. Estes
são apenas alguns dos cenários nos quais a tecnologia poderia assumir um papel auxiliar em
tomadas de decisões estratégicas.
A literatura contém diversos trabalhos que reportam algumas implementações de CIs,
que por sua vez incluem uma quantidade significativa de tecnologias e conceitos. Por este motivo,
para embasar a temática deste trabalho, iniciou-se em uma revisão, publicada em (da Silva et al.,
2013), na qual buscaram-se analisar concepções de arquiteturas para CI, propostas em trabalhos
na academia e na indústria, sob o ponto de vista dos requisitos que buscam satisfazer, a fim de se
encontrar os problemas mais abordados na área, bem como os tópicos de pesquisa mais carentes
de atenção. Estes requisitos serão brevemente comentados na subseção que se segue.

2.1.1

Requisitos para Cidades Inteligentes: Um Overview

A Tabela 2.1 sumariza os requisitos e os respectivos trabalhos estudados nos quais foram
encontrados.
O requisito Monitoramento em Tempo Real representa uma importante característica
inerente ao contexto de cidades inteligentes: o monitoramento contínuo e em tempo real. O
monitoramento em tempo real é o instrumental mais valioso para o fornecimento de informações
relevantes que serão utilizadas para prever fenômenos. Um exemplo disso é o monitoramento do
nível dos rios durante as temporadas de chuva. Nesta situação, a partir de um monitoramento
efetivo, é possível tomar medidas para mitigar possíveis transtornos aos cidadãos, como enchentes
e a transmissão de doenças.
Interoperabilidade de Objetos é um requisito fundamental para a consolidação de
qualquer plataforma que utilize uma gama de objetos com diferentes especificações técnicas e
protocolos de comunicação, no qual um objeto é uma abstração de sensor, atuador ou qualquer
outro dispositivo que possa realizar algum tipo de computação.
O trabalho também identificou a importância da Sustentabilidade. Por redefinir essencialmente a dinâmica de uma cidade, propostas de implementação para CIs precisam incluir, desde

2.1. CIDADES INTELIGENTES

28

Tabela 2.1: Mapeamento Requisitos-Trabalhos

Requisito
Monitoramento em tempo real

Trabalhos
(Al-Hader et al., 2009; Asimakopoulou and Bessis,
2011; Attwood et al., 2011; Filipponi et al., 2010;
Hernández-Muñoz et al., 2011; PlanIT, 2012; Sanchez
et al., 2011)
Interoperabilidade de objetos
(Filipponi et al., 2010; Hernández-Muñoz et al., 2011;
Lee et al., 2011; Zygiaris, 2013; PlanIT, 2012)
Sustentabilidade
(SETIS, 2012; Haubensak, 2011; Klein and Kaefer,
????; Lee et al., 2011; Zygiaris, 2013)
Dados históricos
(Blackstock et al., 2010; Lee et al., 2011; PlanIT, 2012;
Sanchez et al., 2011)
Mobilidade
(Blackstock et al., 2010; Hernández-Muñoz et al.,
2011; Sanchez et al., 2011; Zygiaris, 2013)
Processamento e sensoriamento dis- (Filipponi et al., 2010; Andreini et al., 2011;
tribuídos
Hernández-Muñoz et al., 2011; Lee et al., 2011)
Tolerância a falhas
(Hernández-Muñoz et al., 2011; Nam and Pardo, 2011;
Sanchez et al., 2011)
Composição de serviço e gerencia- (Anthopoulos and Fitsilis, 2010; Nam and Pardo, 2011;
mento urbano integrado
PlanIT, 2012)
Aspectos sociais
(Asimakopoulou and Bessis, 2011; Klein and Kaefer,
????)
Flexibilidade/Extensibilidade
(Klein and Kaefer, ????; Lee et al., 2011)
Privacidade
(IBM, 2012; PlanIT, 2012)
sua concepção, políticas sustentáveis. Estas políticas devem estar relacionadas aos aspectos
ambiental, econômico e social de cada domínio.
Quanto ao requisito Dados Históricos, no contexto de CIs, todos os componentes que
compõem cada domínio de uma cidade estão constantemente sendo modificados, seja por eventos
humanos, naturais ou tecnológicos. Dessa forma, todo dado captado tem potencial para compor
uma informação relevante, desde que seja agregado a outros dados, logo, torna-se substancial
que as propostas contemplem mecanismos eficientes de armazenamento e consulta desses dados.
Por sua vez, a Mobilidade é outro requisito fundamental que deve ser explorado. Por
mobilidade, entende-se toda e quaisquer tecnologias móveis, capaz de captar informações do
ambiente, passiva ou ativamente, ou atuar sobre o mesmo. A mobilidade é um dos principais
aliados para a implementação do monitoramento em tempo real. Ao considerar que 4 bilhões
de cidadãos já possuem smartphones Hall (2012), é natural associar mobilidade ao uso destes
dispositivos. Porém outros dispositivos também podem ser utilizados, como ZigBee e RFID
(Radio-frequency identification).
Para que sejam propostas soluções para o aumento da eficácia em serviços urbanos, é
necessário que se façam aferições das características qualitativas ou quantitativas que permeiam
esses serviços, bem como dos resultados que produzem. É através de sensoriamento que se
obtêm a visão computacional do ambiente urbano; quanto maior o número de sensores e mais

2.1. CIDADES INTELIGENTES

29

disperso eles estiverem, maior será o escopo abrangido pela solução proposta. A heterogeneidade
dos sensores utilizados influencia na riqueza de detalhes e na quantidade de dados que podem
ser extraídos de cada cenário sendo monitorado, tornando possível a obtenção de resultados mais
precisos; por exemplo, relatórios de trânsito em determinada via podem ser melhor analisados
e complementados com imagens obtidas através de câmeras instaladas nas redondezas. Além
disso, situações que exigem a adoção imediata de medidas preventivas ou corretivas requerem
processamento em tempo real, com tempo de resposta rápido o suficiente para fundamentar as
ações que devem ser executadas. Considerando quantidades massivas de dados coletados, o
suporte à esse tipo de contexto sugere a necessidade de processamento distribuído, explorando a
capacidade da infraestrutura existente. Esses cenários caracterizam o requisito Processamento e
sensoriamento distribuídos (Hernández-Muñoz et al., 2011; Filipponi et al., 2010; Andreini
et al., 2011; Lee et al., 2011).
Outro requisito identificado como importante para permitir a captação de dados, é a
tolerância a falhas da infraestrutura subjacente, com mecanismos de controle de fluxo, colisão
e redundância devem ser inerentes à solução. Entretanto, a implementação de uma CI não pode
ser dependente da infraestrutura de cloud, ou seja, independente do estado da cloud, o sistema
deve continuar obtendo e armazenando os dados, inclusive atuando de forma autônoma (Sanchez
et al., 2011; Hernández-Muñoz et al., 2011; Nam and Pardo, 2011).
O requisito Composição de serviços e Gerenciamento urbano integrado parte de
uma visão sistêmica, na qual ambientes urbanos são essencialmente um conjunto de sistemas
complexos, disponíveis para suprir as necessidades de seus cidadãos. Qualquer implementação
de CI que pretende dar suporte a esse tipo de sistema deveria considerá-los como complementares
na busca pelo gerenciamento urbano efetivo, ao invés de tratá-los de forma isolada. Assim sendo,
serviços desenvolvidos para sustentar tais sistemas devem ser interoperáveis, de forma que
outros serviços possam reusá-los, agrupá-los ou criar uma composição a partir deles, explorando
importantes aspectos de sua correlação, ou mesmo criar uma visão holística e contextualizada da
cidade, agregando informações de diferentes fontes, permitindo uma gestão urbana mais efetiva
e integrada (Anthopoulos and Fitsilis, 2010; Nam and Pardo, 2011; PlanIT, 2012).
Tendo em vista que o propósito principal na concepção de uma cidade inteligente é o
aumento na qualidade de vida de seus cidadãos, outro requisito que surgiu a partir do estudo
realizado foram os Aspectos sociais. Apesar do aparato tecnológico ser um dos possíveis
elementos que podem ser utilizados para a implementação de CIs, as pessoas precisam participar
e serem beneficiadas pelo processo, caso contrário, todo investimento será em vão. Um exemplo
disso, é a Cidade Digital de Trikala, Grécia, que após cinco milhões de Euros gastos em
manutenção de infraestrutura e 6 anos de funcionamento, a população não utilizava ou sequer
tinha conhecimento dos serviços digitais disponíveis Anthopoulos and Fitsilis (2010). As pessoas
precisam sentir-se inclusas como parte fundamental da solução idealizada no conceito de CI.
Para isso podem ser criadas formas de estimular e/ou retribuir esse interesse, como é caso da
iniciativa Fun Theory Sweden (2009), da Volkswagen, na qual criam-se novas formas de se fazer

2.1. CIDADES INTELIGENTES

30

tarefas repetitivas, a fim de estimular a mudança de hábitos. Além disso, os serviços devem estar
disponíveis para todos os cidadãos independente de quaisquer restrições social, física, econômica
ou financeira, a tecnologia deve ser aplicada afim de trazer benefícios coletivos, e não alienar ou
elitizar uma pequena parte da população (Asimakopoulou and Bessis, 2011; Klein and Kaefer,
????).
A Flexibilidade/Extensibilidade também foi vista como um requisito relevante nas
abordagens estudadas, apontando que mudanças, adaptações e extensões devem ser previstas,
quando se estabelece uma CI. Além da inserção de novos serviços, novos tipos de sensores,
diferentes tipos de dados coletados, diferentes contextos urbanos e funcionamento independente
de padrões específicos de hardware devem ser contemplados, permitindo que possa ser adaptável
a diferentes realidades (Klein and Kaefer, ????; Lee et al., 2011).
Todas as questões de manutenção de dados envolvidas na concepção de uma CI são
de suma importância. Porém, devem ser estabelecidas políticas de privacidade esclarecendo
quais dados serão capturados e o que será feito com eles. Certamente a não consolidação destas
políticas é um desafio que pode impedir os cidadãos, instituições e governo de fornecerem
determinados dados críticos, atravancando o sucesso na implantação e manutenção de uma CI.
O requisito privacidade foi abordado com menor profundidade/relevância em apenas dois dos
trabalhos estudados, (PlanIT, 2012; IBM, 2012), expressando preocupação com a garantia desse
direito aos cidadãos, apesar de ambos não disponibilizarem detalhes de como implementam
privacidade em suas soluções, o que impediu uma análise mais apurada do assunto no contexto
de CI.

2.1.2

Considerações

O levantamento desses requisitos permitiu que se pudessem identificar os tópicos de
pesquisa mais/menos abordados no contexto de CIs, indicando possíveis direcionamentos que
o trabalho aqui apresentado poderia assumir. A escassez de trabalhos explorando o tema
privacidade a oportunidade que representa, foi o que despertou maior interesse, tanto pela
interdisciplinaridade, quanto pelo potencial das possíveis soluções vislumbradas.
O intuito de tratar o tema sob o ponto de vista de CIs deu-se pela visão de que, o uso
intensivo de TICs nas cidades, é uma tendência que representa uma evolução na forma de gestão
urbana, utilizando serviços e informações em prol da qualidade de vida das pessoas. Entretanto,
como consequência dessa evolução cria-se um ecossistema favorável ao uso desordenado de
dados e informações pessoais, trazendo prejuízos para o cidadãos, anulando o efeito benéfico
proposto pela tecnologia.
Na seção que se segue o tema privacidade será definido de acordo com a literatura, tendo
seu significado estreitado para a conceituação que será utilizada ao longo do trabalho.

2.2. PRIVACIDADE

2.2

31

Privacidade

A escassez de trabalhos que abordassem o tema privacidade no survey brevemente
descrito na seção anterior traz de volta o debate do direito à privacidade, que perdura desde a
Declaração Universal dos Direitos Humanos, em 1948, quando o assunto ainda não tinha teor
palpável e prático, com um caráter mais preventivo que corretivo, até os dias atuais. Após o caso
Snowden1 e a ascenção do assunto para a mídia, o assunto ganhou atenção das massas. Este
requisito fomentou o interesse de desenvimento deste projeto de pesquisa, tanto pela atendimeto
escasso por parte das implementações estudadas, quando pelas possibilidades vislumbradas
como possíveis soluções.
O significado de privacidade expandiu-se de acordo com a evolução dos sistemas de
informação, a forma como usuários interagem com eles (bem como a consciência desses usuários
sobre a forma como seus dados são tratados) e a proposição de valor que proporcionam. Apesar
de não se ter encontrado um consenso literal, todas as definições direcionam para um cenário
onde uma pessoa possui controle sobre quem, quando, como, por que, para que, onde e por
quanto tempo seus dados serão utilizados por algum provedor de serviço.
Diferente da dinâmica que tínhamos nos anos 70, em que os dados pessoais eram coletados e sua utilização era restrita a um propósito único e específico, atualmente algumas técnicas
de análise e/ou mineração de dados podem ser aplicadas para se estabelecer as correlações,
predições, etc., gerando conhecimento mais profundo sobre o proprietário dos dados (Forum,
2013), impedindo controlar as dimensões da exposição.
Na intenção de se regulamentar práticas para provisão de privacidade, as diretrizes
de manutenção de privacidade propostos pela Organisation for Economic Co-operation and
Development (OECD)2 (Publishing and OECD. Publishing, 2002) e pelo National Institute of
Standards and technology (NIST)3 (Commission et al., 2007), convergem em um conjunto de
princípio que incluem a) transparência/abertura quanto às prática de uso de dados pessoais; b)
envolvimento do indivíduo no processo de utilização de seus dados pessoais, provendo mecanismos apropriados de gerenciamento; c) determinação do propósito para o qual o dado está sendo
coletado, bem como limitação do uso subsequente apenas ao necessário para o cumprimento do
propósito especificado; d) coleta de dados diretamente relevantes e necessários para o propósito
especificado, mantidos durante o tempo suficiente para que o propósito seja mantrrido; e) dados
pessoas não devem ser divulgados, disponibilizados ou usados para propósitos diferentes do
especificado; f) organizações devem certificar-se de que os dados coletados são/estão corretos,
relevantes, adequados e completos; g) os dados devem ser protegidos quanto à perda ou acesso
1 Para

mais informações http://bit.ly/1rrgZJp
organização cuja missão é promover políticas que visam melhorar o bem-estar social e econômico das
pessoas ao redor do mundo, através de colaboração entre governos. Fonte: http://bit.ly/1oeDJt4, acessada em
03/05/2014.
3 Fundado em 1901, o NIST é uma agência federal dentro Departamento de Comércio americano, que visa
promover a inovação e competitividade industrial através do avanço no campo de medições, padrões e tecnologia.
Fonte: http://1.usa.gov/1kHHLt9, acessada em 03/05/2014.
2 Uma

2.2. PRIVACIDADE

32

não autorizado, destruição, uso, modificação e exposição não intencional ou inapropriado; e h)
organizações devem ser responsáveis pelo cumprimentos desses princípios, treinando e auditando
sua aplicação em suas atividades.
Pode-se identificar este conjunto de requisitos embutidos nas regulamentações do uso de
dados pessoais na União Européia, Estados Unidos e Brasil, conforme mostrado no capítulo 3, o
que indica um consenso na implementação do conceito, ao menos no ponto de vista legal.
De acordo com a literatura, a noção de privacidade por ser divida em 4 categorias:    

Privacidade Territorial: que visa controlar observadores e interferentes, referindose à proteção de espaços físicos (ou territórios) privados (Chaum, 1981; Könings
et al., 2010);
Privacidade Física: diz respeito à proteção da integridade física das pessoas contra
a procedimentos invasivos (Banisar and Davies, 1999);
Privacidade de Comunicação: abrange a segurança e a privacidade de todas as
formas de comunicação (Banisar and Davies, 1999);
Privacidade de Informação: refere-se à proteção de dados pessoais, ou seja, quando,
como e em que extensão esta informação é comunicada a outros, mantendo-se a
qualquer momento sob o controle completo do usuário (Heinroth and Minker, 2011).

O presente trabalho não trata das 3 primeiras categorias - territorial, física e comunicação
- e refere-se à privacidade de informação genérica e simplesmente como privacidade. Em
termos de definição-guia para posteriores discussões, considera-se um resumo dos trabalhos
apresentados em (Publishing and OECD. Publishing, 2002; Cho et al., 2004; Heinroth and
Minker, 2011) amplo o suficiente para estabelecer uma visão genérica de privacidade, adequado
ao escopo do trabalho: privacidade é atingida quando não existem dados mantidos em segredo e,
em caso de exposição, os princípios sobre a coleta, cujos procedimentos devem estar estritamente
de acordo com um propósito bem definido, e armazenamento - que garante o controle do usuário
- são seguidos de uma forma responsável, incentivando o engajamento dos usuários.

2.3. DIRECIONAMENTO

2.3

33

Direcionamento

Neste capítulo foram definidos os conceitos de CI e privacidade, úteis no desenvolvimento
e compreensão deste trabalho, bem como sua justificativa, baseada no resultado do survey sobre
soluções de CIs, brevemente apresentado.
Na forma como são idealizadas hoje, CIs seriam projetadas para serem suportadas por
um conjunto de serviços e infraestrutura essencialmente tecnológicos (e por que não dizer,
com certa nuance futurista), construídos “do zero”, baseados na instalação e controle de uma
infraestrutura robusta de hardware, software e comunicação, que dariam suporte aos requisitos
comuns, descritos na Seção 2.1.1 deste Capítulo.
Para as cidades já existentes, um processo de adaptação faz-se necessário, no qual a
infraestrutura de serviços e comunicação evolui gradativamente, adequando o uso de TICs à
realidade socioeconômica da cidade, guiados, por exemplo, pela implementação dos requisitos
levantados em (da Silva et al., 2013) ou ainda em um modelo de maturidade para CIs, como o
proposto em (Afonso et al., 2013).
Contudo, em ambas situações, para que se complete o elenco de atuação efetiva para
uma CI, é necessário o envolvimento das pessoas.
Pessoas são importantes em CIs por dois motivos básicos. Primeiro, por que cidades são
fundamentalmente constituídas de pessoas e processos, sistemas e serviços que giram em torno
delas; sendo o propósito principal promover um aumento e manutenção na qualidade de vida dos
cidadãos, seria ingênuo e imaturo ignorar a razão-de-ser das CIs: as pessoas. Segundo, como
apontado no livro Cidades Para Pessoas (Gehl, 2010), o autor Jan Gehl afirma que, considerando
que a maioria da população global tornou-se urbana ao invés de rural, as cidades terão que
fazer mudanças cruciais em termos de planejamento e priorização, focando-se nas necessidades
das pessoas que habitam/constituem/utilizam essas cidades; assim, o envolvimento das pessoas
no processo implica em maior chance de compreensão dos problemas reais existentes, rumo a
soluções que, efetivamente, produzam melhorias na qualidade de vida urbana.
Nas próximas seções deste capítulo serão discutidos a importância do envolvimento
das pessoas na implementação de CIs em sua plenitude e os problemas decorrentes desse
envolvimento.

34

3
Pessoas Como Sensores em
Cidades Inteligentes
Anybody who has been seriously engaged in scientific work of any kind
realizes that over the entrance to the gates of the temple of science
are written the words: ’Ye must have faith’.
—MAX PLANCK

De acordo com Ratti & Nabian (Ratti and Nabian, 2010) existem três mecanismos
distintos de se monitorar uma cidade, a fim de extrair dela as informações necessárias que,
quando devidamente processadas, possibilitem a tomada de decisões melhor fundamentadas e
efetivas.
O primeiro mecanismo, ou sensoriamento viral, beneficia-se de sistemas já instalados
(assim como vírus, que se instalam em outros organismos vivos), para quaisquer outros propósitos, cujo funcionamento produz naturalmente informações que, quando justapostas, podem
determinar a forma como a cidade funciona. O segundo mecanismo, rede de sensores, baseia-se
em sensores físicos (fixos ou móveis) instalados no ambiente de interesse, responsáveis por
coletar variações nos atributos monitorados. O terceiro mecanismo, de maior interesse para este
trabalho, é baseado em pessoas - ou crowdsensing, e permite que, através dos dispositivos móveis
que estas pessoas portam, se extraiam informações sobre determinado contexto, tanto através do
monitoramento a nível indivídual, quanto a nível comunitário, sendo o último de maior benefício
coletivo, trantando-se de cidades.
No monitoramento baseado em pessoas em nível comunitário, o envolvimento do indivíduo pode se dar de forma ativa, voluntária (por exemplo, reportando trânsito em alguma
via), ou oportunista, que ocorre de forma passiva, sem necessariamente envolver o usuário,
gerando novos dados sempre que o estado do dispositivo corresponder aos requisitos da tarefa
de monitoramento (por exemplo, a coleta automática de informações de localização) (Ganti
et al., 2011; Krontiris and Dimitriou, 2013). Através deste mecanismos, cria-se uma versão

35
digital paralela à cidade física, “gerando diferentes tipo de dados que provêem uma visão única
de como as pessoas vivenciam, trafegam e vêem a cidade; a população torna-se então uma
rede distribuída de sensores que nos permite entender os padrões dinâmicos da cidade e as
experiências de seus cidadãos, quase em tempo real” (Ratti and Nabian, 2010).

3.1. PESSOAS COMO SENSORES

3.1

36

Pessoas Como Sensores

O propósito em focar a dimensão humana em CIs é fazer com que cidades evoluam de
espaços inteligentes para cidadãos conectados.
Enquanto uma infraestrutura de comunicação de qualidade é um elemento chave dentro
de uma Cidade Digital, em uma CI este é apenas o primeiro passo; equipamentos de rede, pontos
de acesso públicos e sistemas de informação específicos também podem ser considerados. Várias
cidades no mundo já disponibilizam acesso gratuito via conexão sem fio pública, como Barcelona
(Espanha), Taipei (China), Paris (França), Helsinque (Suécia), Los Angeles (Estados Unidos), no
Brasil, cidades como Campinas, Sorocaba e Recife também oferecem o serviço com algumas
restrições1 .
Além disso, graças à popularização do acesso à banda larga móvel - incluindo 3G (usando
WCDMA2 ), modem e 4G (usando LTE3 ) - e às taxas de adesão e planos acessíveis, permitem
que, mesmo fora da área de cobertura dos pontos de acesso sem fio públicos, as pessoas possam
continuar conectadas. Aliado a isso, as estatísticas sobre o aumento no número de smartphones
e do uso de Internet móvel nestes dispositivos aponta para um quadro promissor da inclusão
destas pessoas como sensores. Uma pesquisa feita pela IDG Global Solutions, em 2011, mostra
que 74,6% dos brasileiros navegam na Internet diariamente e 71,7% baixam e usam aplicações
móveis. Outra pesquisa, feita pela IDC, uma subsidiária da IDG no Brasil, mostra que com base
nos dados consolidados do mercado brasileiro de celulares em 2013, 11,5 milhões de unidades de
smartphones, um volume de 123% em relação ao ano anterior, com expectativa de crescimento
para os 4 anos seguintes4 .
A vantagem da democratização da conectividade, é que os cidadãos tornam-se aptos a
acessar e gerar conteúdo, permitindo que as cidades se tornem grandes hospedeiras de sensores
“vivos”, de forma que as informações poderiam ser utilizadas para ajustar recursos e serviços
urbanos de acordo com a necessidade dos cidadãos (Ratti and Townsendn, 2011). Em suas
atividades diárias, pessoas geram dados em diferentes situações: transações online, emails,
vídeos, imagens, cliques, logs de navegação, termos de busca, registros de saúde e interações em
redes sociais, além dos dados recolhidos a partir de sensores pervasivos implantados na própria
infraestrutura, tais como redes de comunicação, redes de energia, satélites de posicionamento
global, ruas, residências, prédios, escritórios, automóveis, etc., que poderiam, além de monitorar
1 Informações

obtidas em http://bit.ly/1r9Oz5i, http://bit.ly/PnXQZk, http://bit.ly/
1tt8Che, em 21/04/2014
2 Do inglês Wideband Code Division Multiple Access, Acesso Múltiplo por Divisão de Código de Banda Larga,
o WCDMA é um padrão de interface aérea, designado pela International Telecommunication Union como parte
parte do sistema de comunicação móvel 3G, usado em redes UMTS(Universal Mobile Telecommunications Sytem)
e HSPA(High Speed Packet Access), que pode transportar dados a altas velocidades, permitindo que operadoras
de telefonia móvel forneçam serviços multimídia mais sofisticados, como stream de música, TV, vídeo e acesso à
Internet banda larga. Fonte: http://bit.ly/1nksD8h
3 Do inglês Long Term Evolution, é uma tecnologia de rede móvel que representa uma evolução do padrão e
características do 3G. Fonte: http://bit.ly/1i8Pl1f
4 Fontes: http://migre.me/iTl10, http://migre.me/iTkZA, acessados em 22/04/2014

3.1. PESSOAS COMO SENSORES

37

informações sobre seu próprio status, coletar informações sobre o ambiente (Asimakopoulou
and Bessis, 2011; Tene and Polonetsky, 2012).
A grande dificuldade identificada no uso de sensores físicos é que, além de estáticos, e o
custo para implantação pode não condizer com as condições econômicas da cidade.
Geralmente sensores visam coletar dados, enviá-los para alguma entidade centralizadora,
permitindo-os serem aproveitados de forma oportuna. Comumente eles estão espalhados em
alguma área de interesse, focando em propósitos de aplicação específicos (Campbell et al., 2006).
Com isso, o monitoramento fica suscetível a uma visão imediata do ambiente e depende de
intervalos de tempo para ser atualizado.
Pessoas, ao contrário de sensores físicos, estão em constante movimento quase o tempo
todo, além de estarem imersas em um entorno dinâmico e em constante mudança, possibilitando
uma maior abrangência na área monitorada (Ma et al., 2014). Quando cidadãos estão envolvidos
no processo de coleta de dados urbanos eles podem examinar seu entorno, reunindo informações
sobre ele, tanto do panorama humano, quanto do físico, ajudando a compreender diversos
aspectos de algum fenômeno, evento ou contexto de interesse (Nandakumar et al., 2013). Neste
caso, os próprios cidadãos constituiriam produtores e consumidores de informação, graças às
habilidades nativas de ver e ouvir, à onipresença dos smartphones e seus aplicativos e ao advento
da Web 2.0, que impulsionou uma explosão de compartilhamento de informação (Lioudakis
et al., 2009).
Alguns trabalhos encontrados na literatura, brevemente descritos nos parágrafos que se
seguem, discutem a importância da atuação humana na construção, desde cidades digitais, às
ubíquas até as inteligentes.
Recentemente, alguns estudos provaram o potencial dos dados provenientes de dispositivos móveis, originados de um novo paradigma chamado crowd computing ou citizen science.
Estes estudos mostraram que dispositivos e sensores móveis podem ser usados por cidadãos
comuns, que coletariam dados úteis para diferentes propósitos. Através da colaboração, os
cidadãos também adquiririam um maior conhecimento sobre o que está acontecendo em seu
entorno e, paralelamente, as organizações poderíam facilmente (e sem esforço) identificar as
necessidades e desejos de seus consumidores (Paulos, 2009).
Similarmente, Asimakopoulou & Bessis (Asimakopoulou and Bessis, 2011) descrevem
uma arquitetura para gerenciamento de desastres e aponta para atuação coletiva como uma
alternativa de implementação de formas para que a comunidade possa contribuir e, ao mesmo
tempo, receber informações úteis de acordo com o cenário atual. Este mecanismo de coleta de
dados poderia levar a informações mais precisas e atualizadas relacionadas a diferentes aspectos,
por exemplo, no caso de uma epidemia, a identificação, posicionamento e condições de saúde
das pessoas afetadas e o posicionamento e status das equipes médicas seriam informações úteis e
essenciais para definição das medidas a serem tomadas; no caso de uma catástrofe ambiental,
informação sobre os locais de risco, identificação das condições ambientais e posicionamento e
status das equipes de resgate determinariam os passos necessários para uma atuação efetiva.

3.1. PESSOAS COMO SENSORES

38

(Lee et al., 2011) e (Dirks and Keeling, 2009) concordam que dispositivos móveis,
aliados à redes de alta velocidade e de longo alcance e sensores embutidos no ambiente provêem
o fundamento técnico para uma cidade com serviços disponíveis em qualquer lugar, a qualquer
tempo, abrindo oportunidades para gerenciamento urbano mais efetivo e eficiente.
Paralelamente, em (PlanIT, 2012), uma iniciativa por parte da indústria, que interpreta a
cidade como um organismo na qual, tanto os elementos físicos, quanto os humanos, interoperam
entre si, sendo os últimos elementos críticos para que as cidades sejam bem sucedidas e prósperas
social e ambientalmente, tornando um lugar melhor para se viver. Os autores também afirmam
que, apesar dos aumentos no nível de inteligência e automação a ser aplicada no projeto das
futuras cidades, cada serviço e cada atividade exige a participação de pessoas. O trabalho propõe
um cidadão com múltiplos papéis, que interage com a cidade, suas construções, infraestrutura e
serviços, tirando vantagens de seus dispositivos móveis.
Já em (Nam and Pardo, 2011), propõe-se o conceito de Smart People, afirmando que os
problemas associados às aglomerações urbanas podem ser resolvidos por meio de criatividade,
cooperação entre stakeholders e suas brilhantes ideias - as soluções inteligentes.
Uma abordagem parecida é proposta em (Pan et al., 2011), no qual se descreve um
método para mensurar a inteligência de uma cidade, com uma dimensão Smart Citizen (Cidadão
Inteligente), construindo-se uma estrutura de índices para revelar a efetividade na melhoria da
qualidade da vida urbana, focada na capacidade da infraestrutura de TIC e em aplicações para
coletar feedback sobre a satisfação dos residentes, avaliando suas habilidades e experiências.
Campbel et al. (Campbell et al., 2006) descreve a MetroSense, uma arquitetura de rede
para sensoriamento centrado em pessoas, em escala urbana, baseada no paradigma de rede de
sensores oportunistas (Kapadia et al., 2009), na qual indivíduos em posse de seus dispositivos
móveis, coletam informações dentro de sua rotina diária, direta ou indiretamente relacionadas às
atividades humana e à forma como as pessoas interpretam e interagem com o ambiente ao seu
redor.
Um outro viés, apresentado em (Chillon, 2012), vai em direção às políticas de dados
abertos que estão sendo implantadas mundialmente e às iniciativas públicas liberando o acesso
aos dados públicos, gratuitamente, para que as pessoas interessadas criem aplicações que dêem
utilidade àqueles dados. O modelo de uso de dados abertos foi aderido rapidamente por entidades
governamentais no mundo todo, deixando a solução de problemas/anseios urbanos públicos
por conta dos próprios cidadãos, os principais interessados. Abrir informação pública para
utilização propicia a oportunidade de se explorar outras formas de oferecer serviços públicos que,
tradicionalmente, são providos pela administração pública, fomentando inovação e engajamento
civis.
Como se vê, a importância e forma de atuação das pessoas, enquanto cidadãos, se dá de
diversas formas: tanto como produtores de dados e informações, quanto consumidores. O que se
nota em comum nos trabalhos estudados é o consenso de que, incluir o cidadão como parte da
solução, alavanca e justifica a transformação de cidades comuns em CIs.

3.1. PESSOAS COMO SENSORES

39

Pode se dizer que, estabelecendo-se pessoas como a base (ou “ingrediente” principal)
da solução, ao invés de TICs, pura e simplesmente, materializa-se um conceito plenamente
abstrato de CI - movido a casas autogerenciáveis, carros autodirigíveis, sistemas de transporte e
circulação resilientes, redes de eletricidade autosuficientes e assim por diante - expressada através
de campanhas de teor quase que publicitário por grandes empresas como IBM, Siemens e Cisco,
como discutido em (Greenfield, 2013), e se instaura uma implementação onde os problemas
urbanos (tão específicos quanto a própria natureza da cidade em questão) são solucionados em
“partes", eventualmente com tecnologia, refletindo em ações/resultados mensuráveis no “todo".
Porém, o problema que surge a medida que se utilizam pessoas como sensores, é que
os dados manipulados podem incluir informações de teor pessoal, cuja exposição violaria a
privacidade individual. As seções que se seguem vão discutir a extensão dessa violação na
manipulação de dados pessoais, agravada pelo acúmulo dos mesmos em bancos de dados fora
do controle dos indivíduos e pelas capacidades de análise, correlação e mineração de dados
existente no cenário computacional atual.

3.2. A PROBLEMÁTICA

3.2

40

A Problemática

Quando se pensa em pessoas como sensores em sua máxima extensão, na qual interações
de quaisquer natureza assumem importância enquanto passíveis de registro, não são poucas as
oportunidades em que isso se apresenta como uma alternativa mais que viável, tanto em sua
forma passiva - sem participação explícita ou consentimento - quanto ativa, de livre e espontânea
vontade.
Geralmente a atuação como sensores vivos se dá através de aplicações para dispositivos
móveis, tipicamente munidos de vários sensores - como Global Positioning System (GPS), sensor
de inércia, de proximidade, luz, bússola, microfone, câmera, etc. - habilitados para uso de
Internet. Porém, existem outras formas de interação que transformam nossos dados e ações
em informação de utilidade para algum contexto/domínio, a exemplo das atividades diárias
mencionadas na Seção anterior.
Além dos dados e respectivos contextos já mencionados, considerando uma escala massiva, o monitoramento contínuo, o efeito incremental (como chamado em (Tene and Polonetsky,
2012), devido ao fato de, uma vez o dado exposto online, torna-se quase impossível recuperá-lo
ou excluí-lo), a capacidade de análise sofisticada e a forma como os dados são armazenados
atualmente, fazem com que os dados sejam cada vez mais granulares, reveladores, permitindo
que as corporações consigam extrair mais informações sobre os indivíduos aos quais se referem,
aumentando sua competitividade sobre a concorrência através de vantagens injustas sobre os
consumidores; concomitantemente, podem-se levantar questionamentos a respeito dos processos
de tomada de decisão automatizados, que imputam as decisões sobre a vida de um indivíduo tais como avaliação de crédito, perspectiva de trabalho e elegibilidade para a cobertura de seguro
ou benefícios - para métodos automatizados baseados em algoritmos e inteligência artificial
(Rubinstein, 2013).
Uma pesquisa realizada na União Europeia, denominada Eurobarometer (eur, 2011),
tinha como objetivo compreender o entendimento dos europeus com relação à exposição de
dados pessoais, sua consciência de como essas informações podem ser armazenadas para futura
análise, suas preocupações em relação a esses novos usos de seus dados pessoais, suas formas de
proteger esses dados e suas expectativas em relação à regulamentação da proteção aos dados.
Parte dos entrevistados reconheceu que não há alternativa além de expor seus dados se
o que se quer é obter produtos ou serviços. Quando questionados sobre a responsabilidade do
manuseio seguro dos dados em redes sociais e/ou sites de compartilhamento, a maioria dos
internautas (74%) achavam que deviam ser eles mesmos os responsáveis, contanto que lhes
fossem disponibilizados mecanismos para fazê-lo. Quando concedida a oportunidade de nomear
uma segunda entidade a quem responsabilizar, os resultados mencionavam redes sociais ou sites
de compartilhamento (73%); as autoridades públicas foram muito menos citadas (45%), apesar
de reconhecer que sanções para violações nos direitos de proteção aos dados, impondo uma
multa em organizações que fizessem o uso de dados pessoais sem conhecimento/consentimento

3.2. A PROBLEMÁTICA

41

prévio, deveriam ser a principal prioridade dessas entidades.
Em novembro de 2012, uma pesquisa realizada no Brasil pela FutureSight (FutureSight,
2012), a pedido da GSMA5 , uma representante dos interesses da indústria mundial de comunicação através de dispositivos móveis, agregando aproximadamente 800 operadoras de serviços
de telefonia móvel e mais de 200 corporações do ecossistema móvel, incluindo fabricantes,
indústria de software, equipamentos, geradores de conteúdo digital – como ela mesmo se descreve – buscou estudar meios de prover aos usuários formas contextualizadas e amigáveis de
gerenciamento de informações e privacidade em dispositivos móveis. O propósito geral era
entender as preocupações do público brasileiro sobre privacidade e como essas preocupações
influenciavam suas atitudes frente ao uso de serviços e aplicações móveis (na Internet), com o
intuito de desenvolver uma experiência de privacidade efetiva e consistente, ajudando usuários a
se tornarem familiarizados com a forma que gerenciam sua privacidade em dispositivos móveis.
Quando questionados sobre suas preocupações com relação à privacidade de seus dados,
86% dos usuários manifestaram essa preocupação quando acessavam a Internet ou aplicações
de um dispositivo móvel. Entretanto, desse percentual, 66% estariam dispostos a continuar a
utilização, independente do risco, e 32% continuariam a utilização se pudessem sentir que suas
informações estariam em segurança.
Dos entrevistados, 81% se consideravam seletivos na decisão de para quem exporiam
seus dados e, 2 em cada 3 usuários, verificavam as informações que uma aplicação quer acessar
antes realizar a instalação. Apesar de manifestar essa consciência de escolha, 51% assumiram
concordar com os termos de privacidade sem lê-los e, desse percentual, 74% justificaram que
não o fazem porque os termos são muito extensos.
Um dos tipos de informação mais coletados pelas aplicações, a localização, também foi
assunto da pesquisa. Dentre os usuários que utilizavam serviços geolocalizados, 92% disseram
que gostariam de ser perguntados sobre a permissão de compartilhamento de sua localização;
além disso 78% manifestaram preocupação com o acesso de terceiros à sua localização e 55%
acreditam que deveria ser estabelecido um conjunto consistente de regras a serem aplicadas nesta
situação.
Sobre a culpa, em caso de violação de privacidade, a maioria (58%) respondeu que recorreria às operadoras de telefonia móvel, independente de quem fosse a culpa. Isso provavelmente
se deve ao fato de 52% dos entrevistados acreditarem (cegamente) que as operadoras estavam
tomando as devidas precauções para manter seus dados em segurança.
Em ambas as pesquisas, o que se nota é que falta uma preocupação de empresas, governo
e desenvolvedores de aplicações quanto à perspectiva do usuário sobre o contexto geral de uso
de seus dados. Neste sentido, pode-se constatar que falta transparência, com meios esclarecidos
para que o usuário possa optar por usar uma funcionalidade ou autorize que ela seja executada
(automaticamente), dentro de um escopo de exposição controlado pelo usuário a todo tempo,
que seria o cenário minimamente ideal na provisão de serviços que lidam com dados pessoais
5 http://www.gsma.com/,

acessado em 22/04/2014

3.2. A PROBLEMÁTICA

42

(Walravens, 2011).
Finalmente, o problema de uma abordagem centrada em pessoas é que os humanos são
entidades de comunicação/sensoriamento naturalmente passivas, em grande parte do tempo não
envolvidas no processo, aguardando algum estímulo externo que se traduza em proposição de
valor em algum nível (pessoal, social, econômico, cultural, por exemplo), que torne a troca justa
(Lee et al., 2011). Com isso, para tornar pessoas em sensores efetivamente, as aplicações têm
que sentí-las, suas necessidades, desejos, seu entorno, suas interações com o meio em que estão
imersas e com as pessoas à sua volta, sem requerer delas a execução de tarefas tediosas (como
abrir/acessar uma aplicação diversas vezes, preencher formulários ou pressionar botões) com o
único propósito de fazê-las atuar como fonte de dados. É necessário engajá-las com aplicações
que proporcionem algum valor agregado, ajudá-las a lidar com sua rotina cotidiana e, baseado
neste tipo de interação e de forma transparente, torná-las em sensores urbanos vivos.
A visão das pessoas registradas pela pesquisa retrata uma visão imediatista sobre o
assunto. Entretanto, todo este cenário de privacidade se agrava quando se pensa a longo prazo.
Como já citado anteriormente, o monitoramento constante ao qual as pessoas estão expostas,
aliado à evolução tecnológica atual, regada à computação em nuvem, big data e conceitos
adjacentes, elevam o tema privacidade para um nível mais sofisticado e um tanto quanto não
explorado, que se intersecta com mecanismos legais que vêm sendo criado para dar respaldo ao
cidadão comum. É sobre essa intersecção que a seção a seguir vai discutir.

3.3. PESSOAS COMO SENSORES, LEIS E BIG DATA

3.3

43

Pessoas Como Sensores, Leis e Big Data

Apesar do conceito de Big Data ainda não estar bem delineado, dado o avanço na geração
e complexidade das informações que TICs têm de (ou deveria) lidar nos dias atuais, uma síntese
da definição do termo, entendida como adequada para o escopo deste trabalho, é a combinação
das discussões encontradas em (Forum, 2013) e (Meira, 2014), baseada em (Laney, 2001). Big
Data refere-se à qualquer coleção de dados, cuja combinação de volume, variedade (de fontes e
tipos de dados) e velocidade (em termos de geração, captura, natureza e ciclo de vida dos dados),
da qual se permite, através de algum tipo de computação, “gerar significados para modelos e
processos de negócios para os quais estão sendo levados em conta”.
Independente do quão familiar ou estranho seja o conceito, é um fato conhecido pela
grande parte das pessoas que as empresas costumam guardar nossos dados desde longas datas,
quando os dados ainda eram preenchidos à mão, em formulários impressos; até então esses dados
eram recursos estáticos, com propósitos aparentemente bem definidos, geralmente esclarecidos
no momento da coleta. Entretanto, o que muitas pessoas não tem consciência hoje, é que a
extensão do uso dos dados fornecidos vão além do explicitado e, neste sentido, não é requisitado
consenso do indivíduo para agir dessa forma.
Quando usado como um recurso unilateral de provisão de informação, Big Data permite
que seus detentores expandam sua capacidade de atuação com conhecimento suficiente para prospecção de ações melhor fundamentadas e, possivelmente, com maiores chances de efetividade.
Mesmo que a justificativa tácita do uso desses dados seja a personalização de produtos e serviços,
uma vez que não existem regras para que [os dados] possam (ou não) ser inclusos, ao mesmo
tempo que permite a geração de ações com embasamento consistente, oportuniza a exposição
de dados pessoais e desequilibra o nível de informação na relação provedor/consumidor de
produtos/serviços, impedindo escolhas informadas no lado consumidor e possibilitando que o
lado provedor tire vantagem, ou faça mau uso, das necessidades de seus consumidores (Krontiris
and Dimitriou, 2013).
No aspecto legal, muito se tem avançado quanto à regulamentação da manutenção do uso
de dados pessoais, com objetivo de aumentar a confiança, tanto nos serviços utilizados, quanto
na tecnologia em si, criando regras claras e robustas que permitam que as empresas cresçam
dentro de um arquétipo de proteção de dados que as tornem confiáveis e mais competitivas.
Na União Europeia, desde Outubro de 1995, já existia um conjunto de leis que visavam
regulamentar privacidade, a European Union Data Protection Data Protection Directive 95/46
(DPD), do Parlamento Europeu e do Conselho de 24 de Outubro de 1995 sobre a proteção
com relação ao tratamento dos dados pessoais. Depois de 17 anos, quando novas formas de
comunicação mudaram a forma como as pessoas compartilham informação e com o surgimento
de um novo paradigma de armazenamento dessas informações (armazenamento remoto, graças à
cloud computing, ao invés de local), em Janeiro de 2012, uma reforma foi proposta Comissão
Européia (CE), dando mais poder de decisão aos cidadãos sobre seus dados (European Comission,

3.3. PESSOAS COMO SENSORES, LEIS E BIG DATA

44

2012).
A reforma foi vista como necessária porque, o impacto gerado pelo advento de Big
Data na antiga DPD, afetava a transparência e manisfestação do consentimento por parte dos
indivíduos em fazer uma escolha informada sobre o compartilhamento de suas informações com
as organizações. A situação agravou-se com o surgimento de técnicas de mineração e análise
de dados. Isso porque, não se pode saber com antecedência o que será descoberto a partir de
uma coleção de dados, sendo assim, os usuários não têm o mínimo conhecimento das potenciais
correlações que podem ser geradas, ficando impossibilitados de fundamentar seu consentimento.
Com isso, a proposta da CE visava assegurar que as pessoas fossem devidamente esclarecidas sobre quando seu dado seria processado, sendo sempre precedido pela declararação
explícita de consentimento. Outra parte da nova regulamentação descrevia o princípio do direito
de ser esquecido, no qual, uma vez que o indivíduo não queira mais que seu dado seja utilizado,
uma empresa não possui mais o direito de mantê-lo, sendo obrigada a excluí-lo de sua base de
dados. O conceito de consentimento foi descrito nos artigos 4 e 7 da reforma, como não só sendo
de livre e espontânea vontade do usuário, específico e informado, como explícito, ou seja, nem o
ditado “quem cala consente”, nem mesmo inatividade constituiam consentimento válido.
A CE também defendeu o direito de livre e fácil acesso aos dados pessoais, facilitando que
qualquer pessoa pudesse ter controle de quais informações pessoais eram mantidas por empresas
e autoridades públicas, bem como transferir esses dados de um provedor de serviço para outro, de
acordo com os interesses individuais (o chamado Princípio da Portabilidade de Dados). Propôs-se
também que as empresas notificassem os indivíduos e autoridades competentes em caso de algum
dado ser, acidental ou intencionalmente, destruído, perdido, alterado, acessado ou exposto por
pessoas não autorizadas. Um último princípio proposto, instituiu que medidas de proteção aos
dados fossem inclusas em produtos/serviços desde a sua concepção e que configurações de
privacidades user-friendly fossem normatizadas (Rubinstein, 2013).
Nos Estados Unidos, a primeira versão da regulamentação que garantia a proteção contra
a invasão da privacidade pessoal, foi o Ato de Privacidade (em inglês, Privacy Act), em 1974.
Ele estabelecia controle sobre os dados pessoais coletados, mantidos, utilizados e disseminados
pelas Agências Federais, onde se fazia possível recuperar informações pessoais baseado em
algum parâmetro de identificação do indivíduo.
Resumidamente, o Ato de Privacidade garantia o direito do indivíduo de acessar e alterar os registros sobre si próprio e o direito de proteção contra invasões de privacidade não
justificadas, resultado da coleta, manutenção, uso e exposição de informações pessoais (of State
Freedom of Information Act , FOIA). Com o surgimento de novas formas de comunicação e
interação com serviços online, bem como a transição de dados/metadados estruturados para
não estruturados, houve uma mudança significativa na complexidade e nos desafios das organizações federais americanas, cuja visão tradicional de manutenção de privacidade era focada
principalmente em assegurar confidencialidade, exigindo que se expandisse essa visão a fim de
atender as expectativas dos cidadãos a esse respeito, que vai além de segurança da informação

3.3. PESSOAS COMO SENSORES, LEIS E BIG DATA

45

(Computer Security Division, 2013). Com este propósito, o documento Controles de Segurança
e Privacidade para Sistemas de Informação e Organizações Federais (em inglês, Security and
Privacy Controls for Federal Information Systems and Organizations), divulgado pelo NIST
(Computer Security Division, 2013), em Abril de 2013, fornece um conjunto de medidas para
implementação de privacidade, separados em famílias de controles e um roadmap de como eles
poderem ser colocados em prática. Estas medidas foram baseadas nos Fair Information Practice
Principles, publicados em (Commission et al., 2007), incorporadas no Ato de Privacidade.
Similarmente, no Brasil, a primeira referência sobre formas de proteção aos dados
pessoais iniciou-se com a Lei Nº 7232, de 29 de Outubro de 1984, onde se dispõe sobre a
Política Nacional de Informática, na qual se estabelecem guias para uma política nacional sobre
o desenvolvimento da tecnologia, que determina a criação de meios para proteção do sigilo dos
dados e do interesse da privacidade e de segurança de pessoas físicas e jurídicas (da República
Casa Civil Subchefia para Assuntos Jurídicos, 1984). Desde então, a Constituição Federal (1988)
(Senado, 1988), a Lei Geral de Telecomunicações (1997) (da República Casa Civil Subchefia para
Assuntos Jurídicos, 1997) e o Código Civil Brasileiro (2003) também deram sua contribuição na
proteção da privacidade dos dados pessoais.
Mesmo com todos esses mecanismos legais, ainda era possível encontrar brechas que
permitiam às empresas tirar vantagens de seus consumidores, usando de estratagemas tecnológicos para gerar lucro. Desde então, apesar de intensas discussões sobre a necessidade de
adequações às mudanças tencnológicas que ocorreram ao longo dos anos, não havia se proposto
uma regulamentação específica para Internet, levando em conta as tecnologias envolvidas e suas
consequências.
Desde o primeiro texto, apresentado em 2010, o acontecimento fundamental rumo à
concretização do Marco Civil foi em junho de 2013, quando Edward Snowden, ex-agente
da National Security Agency (NSA), trouxe a conhecimento público vários documentos que
escancaravam os trâmites de um monitoramento virtual de proporções mundiais, promovidos
pelos americanos contra diversos governos, incluindo o Brasil. A partir de então, a questão
privacidade ganhou caráter de urgência e, finalmente, em 23 de abril de 2014, a presidente Dilma
Roussef sancionou o Marco Civil, que entrará em vigor em junho do mesmo ano (Seligman,
2014)(Ventura, 2014).
O Marco Civil declara a Internet como sendo fundamental no exercício da cidadania
em meios digitais e garante o direito de inviolabilidade e sigilo da intimidade e da vida privada
e do fluxo de comunicações pela Internet. Os fornecedores de serviços via Internet terão que
prover informações claras e completas sobre seus procedimentos de coleta, uso, armazenamento,
tratamento e proteção dos dados pessoais de seus usuários, e poderão usá-los apenas mediante
propósitos bem especificados, mediante consentimento expresso pelo usuário, sobre cada etapa
do ciclo de vida de seus dados, quando em posse do provedor de serviço.
Uma prática comum entre provedores de serviço online é que os dados são coletados,
tratados e vendidos a terceiros, que podem colher vantagens a partir dos mesmos. O Marco Civil

3.3. PESSOAS COMO SENSORES, LEIS E BIG DATA

46

estabelece como direito do usuário que suas informações (dados pessoais, inclusive registros
de conexão e de acesso a aplicações na Internet) não podem ser usadas para um fim diferente
para o qual foram fornecidos, salvo sob consentimento livre e expresso do indivíduo ao qual as
informações se referem (Nacional, 2014).
Como se pode ver, nas três regulamentações brevemente descritas, o impacto sutil que Big
Data possui sobre a privacidade das pessoas - mesmo que o termo não tenha sido explicitamente
citado - faz com que os mecanismos legais expressem minuciosamente a conduta esperada de
provedores de serviço e empresas de telecomunicação, principalmente no que diz respeito à
manutenção a médio/longo prazo de dados pessoais, de modo que não interfira nos direitos
básicos das pessoas.
A regulamentação europeia destaca-se por sua rigidez e pioneirismo, características tais
que estimularam os demais governos a fazer o mesmo e dar maior importância às questões de
proteção dos dados de seus cidadãos. O detalhe mais interessante aqui é a forma como o texto
foi escrito tornando o indivíduo como referência, ao invés de seus dados; os princípios descritos
podem perfeitamente tornarem-se um guia para engenheiros de usabilidade e desenvolvedores,
no momento da concepção de novas aplicações.
Por sua vez, as guias de controles de segurança e privacidade propostas nos Estados
Unidos pelo NIST, apesar de extensa, detalhista e de múltiplos papéis, oferece uma organização
mais integrada, dependente de várias entidades; como possui um foco mais operacional, se
organizado de forma que cada aspecto seja tratado como passível de evolução, poderia-se propor
um modelo de maturidade de privacidade, tendo como resultado final uma implementação
completa dos controles especificados.
O Marco Civil, proposto no Brasil, fundamenta-se na relação entre cidadãos, empresas
e governo, focando-se principalmente na forma como os serviços devem ser prestados, com o
intuito de manter privacidade e a intimidade das pessoas. Apesar de ser baseado no modelo
europeu, diferencia-se em seu foco no dado, ao invés de no indivíduo, trazendo mais atenção ao
ciclo de vida dos dados, colocando o indivíduo como uma ferramenta auxiliar na provisão de
privacidade, possivelmente devido ao seu caráter regimentar.
Uma vez estabelecida a relação entre privacidade de dados pessoais, tecnologia e mecanismos legais, a seção a seguir fala sobre alguns conflitos de interesses eles e discorre sobre
propostas encontradas na literatura para mitigar ou minimizar esse conflitos.

3.4. PRIVACIDADE PARA PESSOAS COMO SENSORES

3.4

47

Privacidade Para Pessoas Como Sensores

O propósito principal de CI é transformar uma cidade comum, em um ambiente que
proporcione uma melhor qualidade de vida. Neste sentido, a melhor medida de que o objetivo
está sendo atingido são as pessoas, se elas estão satisfeitas, então o propósito está sendo cumprido.
Entretanto, não há como implementar mudanças e melhorias sem saber o que é necessário mudar
ou alterar e, neste aspecto, assim como na medição de resultados, pessoas também são essenciais
(Tene and Polonetsky, 2012). Sendo assim, a justificativa principal deste trabalho não é outra,
senão entender como melhor envolver as pessoas nesse processo complexo, e fazer com que
elas sejam parte principal do progresso por meio da evolução de dados, para conhecimento e,
finalmente, para ação.
É dentro deste cenário de necessidade de dados que surge Big Data, como uma forma de
transformar dados brutos em informação útil. Neste ponto, considerando o que foi levantado
na seção anterior, vários são os desafios e contradições: transparência, por si só se perde na
forma com que as empresas entregam sua proposição de valor, mais focada “em que", do
que “em como", i.e., o serviço e seus benefícios, não suas entrelinhas; minimização de dados,
por definição, se contrapõe à Big Data, no qual quanto mais dados úteis disponíveis, maior a
capacidade de geração de conhecimento, de descoberta de novas correlações, através de técnicas
sofisticadas de análise de dados que, sem uma grande coleção de dados, perdem seus benefícios
sociais e econômicos associados (Rubinstein, 2013); portabilidade de dados, assim como na
transparência, requer o desprendimento das empresas dos dados que possuem, concordância em
adotar padrões abertos e garantir ao usuário a liberdade de escolha sobre o provedor de serviço
que deseja; a própria extensão de onde se aplicam as regras de privacidade estabelecidas são
questionáveis, pelo fato de não se saber de início o que pode-se descobrir e, é digno de menção,
que a nova informação gerada é injustamente de posse e conhecimento unilateral.
Algumas alternativas têm sido propostas na literatura, com a finalidade de extrair o
melhor de Big Data sem abrir mão da privacidade dos usuários envolvidos, permitindo que atuem
efetivamente como sensores. A seguir, discutem-se algumas dessas abordagens.
Uma alternativa à utilização rígida de minimização de dados que, como dito anteriormente, que contraria a utilização de Big Data em gerar novas informações a partir de grandes
massas de dados, apesar de contribuir para provisão de privacidade, seria flexibilizar a minimização e o consenso, enfatizando transparência, acesso e precisão (Tene and Polonetsky, 2012). Isto
significa que as empresas abririam mão do que hoje é tratado como segredo industrial - a forma
como armazenam, manipulam, analisam os dados que possuem - e exporiam publicamente os
dados que possuem, como e quando foram coletados e o propósito esclarecido para qual serão
usados (campanhas de marketing, por exemplo); com isso, seria obtido uma maior confiança por
parte dos usuários, que não exigiriam consenso recorrente devido à confiança nos procedimentos
da empresa. Neste caso, não seria essencial que os dados fossem precisos, que refletissem o
cenário atual; isso faria com que o grau de criticidade em caso de exposição fosse potencialmente

3.4. PRIVACIDADE PARA PESSOAS COMO SENSORES

48

menor. Aliado a essas medidas, o acesso dos usuários aos dados seria garantido, permitindo a
manutenção dos dados.
Um dos problemas dessa abordagem é que a forma como essa transparência deve ser
expressa está condicionada ao público e a forma como esse público entende o serviço, à forma
como a empresa apresenta suas políticas de privacidade (já que em pesquisas como a apresentada
am (FutureSight, 2012), os usuários admitem a complexidade dos termos adotados nestes
documentos e sua consequente recusa em lê-los) e à própria reputação da empresa.
Em (Tene and Polonetsky, 2012) e (Rubinstein, 2013) falam sobre featurization de Big
Data, no qual as pessoas determinam suas políticas, preferências e termos de compromisso. Esta
abordagem caracterizaria um equilíbrio de expectativas nas relações entre provedor e consumidor
de serviços, porém dificilmente cidadãos comuns tem conhecimento dos mecanismos legais
que o protegem (ou não) e de que forma isso pode ser formalizados para ter validade legal,
resguardando-o de quaisquer futuros problemas com relação a sua privacidade.
Rubinstein (Rubinstein, 2013) ainda vai mais além da featurization: aposta em uma
relação igualitária entre as empresas provedoras de serviços que consomem dados pessoais e
os indivíduos consumidores desses serviços, na qual se “compartilha a riqueza”, o lucro, os
benefícios, obtidos pelo acesso e utilização dos dados.
Nesta abordagem, os usuários teriam acesso aos seus dados, disponíveis em um formato
portável (ou seja, facilmente transferível e reconhecido de um provedor de serviços para outro),
de modo que pudessem utilizá-los a seu modo em aplicações de seu interesse. Além de acreditar
que os usuários seriam capazes de especificar suas próprias regras de privacidades, afirma-se
que novas oportunidades de negócio seriam criadas. Isso seria importante, já que tornaria as
organizações mais preparadas para compartilhar com as pessoas as riquezas que elas mesmas
ajudaram a criar com seus dados; adicionalmente, a portabilidade de dados assumiria importância
para os indivíduos, muito possivelmente envolvendo mesmo àqueles mais alheios aos seus
direitos. Um exemplo desse tipo de ação é o projeto “Green Button", desenvolvido nos Estados
Unidos, nas qual os consumidores tem acesso às suas informações de consumo de energia
disponível para download, em formato padronizado e fácil de manipular computacionalmente
(Tene and Polonetsky, 2012).
Tene e Polonetsky (Tene and Polonetsky, 2012) argumentam que esse nível de transparência e acesso aos dados suscitam sérias complexidades legais e de negócios. Em diversas
circustâncias garantir acesso a zetabytes de dados, distribuídos por inúmeros servidores, não é
nada trivial. Ademais, para evitar um problema maior do que o que a proposta pretende resolver,
este acesso iria requerer mecanismos aprimorados de autenticação e canais de comunicação mais
seguros, impondo custos e inconveniências em ambas as partes. Os autores também afirmam que,
enquanto se expande esse ecossitema de uso de dados pessoais, se constroem camadas-sobrecamadas sobre as estruturas centralizadas existentes, aumentando o risco de vazamento e acesso
não autorizado aos dados.
Ainda sobre acesso e portabilidade de dados, Swire e Lagos (Swire and Lagos, 2013)

3.4. PRIVACIDADE PARA PESSOAS COMO SENSORES

49

criticam que, da forma que os dados são gerenciados hoje, o acesso (ainda que burocrático)
garantido pelos indivíduos é limitado por escopo - pelo próprio fato de uma empresa guardar
sobre o indivíduo apenas dados que são úteis de alguma forma, de acordo com seu domínio - e
por formato (cada empresa armazena os dados da forma que acha melhor). Quando se estabalece
portabilidade de dados, aliado ao direito de acesso, bastaria uma fraude de identidade e todos os
dados pessoais, de uma vida toda, estariam expostos.
Um ponto de vista oposto é dado por Searls (Searls, 2012), que propõe um conceito que
potencializaria a ideia de portabilidade de dados: o signaling. Ao invés do fluxo atual de provisão
de serviços, onde as organizações de domínios específicos coletam dados de seus usuários com o
propósito de expandir sua fatia de mercado através de novos serviços, melhorar suas campanhas
publicitárias ou cativar (ainda que por vezes covardemente) mais seus consumidores, seriam os
consumidores que, em posse de seus dados, manifestariam a demanda por bens ou serviços no
mercado, sem estar ligado a uma empresa específica. Os dados não iriam para o provedor de
serviço; o serviço é que viria onde estão os dados.
Esta proposta parece ser promissora. A princípio as empresas teriam um pouco de
resistência em abrir mão de um trunfo que até então era delas, mas uma vez compreendido
que dados de diferentes domínios permitem análises, predições e correlações mais sofisticadas,
gerando informações mais ricas que quando isoladas, não levará muito tempo para que surjam
modelos de negócio baseados nesse formato.
Depois de visitadas algumas das alternativas propostas na literatura, vê-se que o modelo
de utilização de dados pessoais requer uma profunda compreensão de diversos apectos envolvidos,
a fim de satisfazer as diferentes partes envolvidas. Entretanto, todos esses problemas assumem
proporções menores quando é dado aos usuários controle e opções de decisão. Afinal, problemas
de privacidade ocorrem tanto quando os indivíduos estão absortos em relação às práticas e direitos
no uso de informações pessoais, quanto quando estão desinteressados e não engajados. Quando
o envolvimento do usuário gera engajamento, estabelece-se um trade-off equilibrado e explícito
entre exposição e proposição de valor, propiciando a identificação de comportamentos impróprios,
atuar de forma consciente e responsável, de forma a cumprir a proposta de privacidade. Afinal
de contas privacidade é mais que segurança de dados: é transparência, consenso e escolha
(Computer Security Division, 2013; Tene and Polonetsky, 2012; Forum, 2013).
Transladando a discussão para o foco desse projeto, o sentimento que emerge, além da
necessidade de leis específicas, é a importância da educação, capacidade de consciência e escolha
das pessoas quanto ao uso geral de seus dados pessoais. Cidades são compostas de cidadãos e
suas relações em diversos níveis, desenvolvidas diariamente. O fator crítico em qualquer cidade
de sucesso é o seu povo e como eles interagem (Nam and Pardo, 2011). Um exemplo claro de
como a falta de conhecimento das pessoas invalidam o investimento em tecnologia é a Cidade
Digital (CD) de Trikala, Grécia. Depois de 6 anos, mesmo com os gastos exorbitantes com
infraestrutura (para manutenção e gerenciamento, mais de e5 milhões) seus habitantes sequer
tinham conhecimento ou utilizavam os serviços digitais disponíveis (Anthopoulos and Fitsilis,

3.4. PRIVACIDADE PARA PESSOAS COMO SENSORES

50

2010).
Uma CI não pode ser baseada somente em tecnologia, já que uma vez que a mesma
torne-se obsoleta a inteligência se vai; há quem ouse dizer, inclusive, que CIs ideais já nasçam
obsoletas (Greenfield, 2013). Sem que uma cidade seja considerada inteligente principalmente
por conta de seus cidadãos, sem o engajamento das pessoas na mudança de hábitos e que elas
comecem a pensar e atuar de forma inteligente, não é possível criar uma CI. Sendo assim,
uma vez reconhecida a importância das pessoas para desenvolvimento urbano, identificados
os problemas decorrentes do uso da massa de dados que elas geram, de forma consciente ou
não, e constatado a necessidade da utilização desses para melhor gestão de serviços urbanos,
apresenta-se a necessidade, e por que não dizer, oportunidade, da criação de um meio adequado
de provisão de privacidade, específico para CI, nas quais as pessoas - os cidadãos - sintam-se
engajados, no controle, providos de informação suficiente para decisões de exposição de seus
dados, em qualquer extensão e, mais que isso, assumam sua posição de agentes de mudança no
processo de smartening de sua cidade.
Com o propósito de entender como a gestão de privacidade vem sendo feita nos últimos
anos, o capítulo a seguir apresenta um estudo sobre diferentes mecanismos de privacidade
para diversos domínios que compõe CIs (Smart Grids, Smart Environment, Smart Space, etc)
encontrados na literatura, com o intuito de se entender, identificar necessidades e requisitos
adequados, rumo à proposta de um framework de privacidade específico para CIs.

51

4
Mecanismos de Privacidade em Smart X
I hear, I know.
I see, I remember.
I do, I understand.
—CONFUCIUS

Ambientes do futuro são vistos como ambientes inteligentes, conectados, provendo
acesso a recursos, dispositivos e serviços disponíveis (Hernández-Muñoz et al., 2011). Este
tipo de ambiente pode ser implementado através de técnicas de computação ubíqua; qualquer
ambiente, munido de utilização massiva de sensoriamento distribuído, permite a construção de
uma visão sistêmica da cidade (e.g. perspectiva sistema de sistemas) gerando informações para
fomentar o processo de smartening.
O X do título, refere-se à qualquer ambiente ou domínio; por smart (inteligente em
português), em Smart X, entende-se a habilidade de sintetizar dados vindos de alguma fonte,
transformá-lo em informação útil e produzir respostas a serem aplicadas de volta em X, visando
melhorar serviços e processos.
A ideia é que qualquer entidade imersa nestes ambientes ou domínio sejam capazes de
sentir seu entorno, tornando todo e qualquer aspecto gerenciável dentro dele - quer sejam dados,
entidades ou recursos - permitindo aumentando a qualidade dos serviços disponíveis, através de
informações geradas por análises computacionais (Hermann et al., 2009; Bagües et al., 2007).
Depois das revelações recentes feitas por Edward Snowden sobre a espionagem do
governo americano sobre outras nações, o debate sobre segurança e privacidade na Internet
ganhou foco mundialmente (Bird, 2013). Em um contexto similar, o grande volume de dados
provenientes de uma diversidade de ambientes inteligentes também levantam questionamentos
sobre privacidade (Balakrishna, 2012). Usualmente segurança de dados está associada a dispositivos conectados, bem como suas interfaces (Simo Fhom et al., 2010; Maisonnasse et al., 2006),
entretanto, quando pessoas são envolvidas, o principal questionamento gira em torno de como
ambientes ubíquos, com sua quantidade de informações pessoais (como dados pessoais, dados

52
médicos, dados financeiros, etc.) potencialmente vasta, impacta na capacidade de manutenção
da privacidade.
Métodos tradicionais de exposição segura de dados pessoais não são suficientemente
efetivos. Por exemplo, políticas de privacidade contradizem a forma como os usuários normalmente mantém seus dados privados, exigindo a especificação de preferências antecipadamente,
de forma abstrata (Bünnig, 2009); exposição baseada somente em interação requer muita atenção
do usuário, anulando a ubiquidade inerente aos ambientes inteligentes; contratos de licença
de usuário final, ou End User License Agreements(EULAs), como são conhecidos, geralmente
encontrados logo que se instala ou se faz o primeiro acesso em uma aplicação ou serviço, descrevem quem detém o direito sobre os dados, como [supostamente] serão usados, direitos do
usuário e do provedor do serviço/aplicação, e assim por diante. Na grande parte das vezes esses
contratos são extensos e carregados de termos complexos, que repelem a atenção e compreensão
do usuário. Estes métodos tentam adquirir consenso antecipado por parte do usuário, tirando seu
controle em ações futuras, optando por manter oculto o ciclo de vida (armazenamento, utilização,
edição, exclusão) do dado coletado.
Neste sentido, realizou-se uma revisão sobre os diversos mecanismos de privacidade
propostos para diferentes tipos de ambientes inteligentes. O objetivo da revisão foi entender as
preocupações existentes quando se lida com privacidade nesses contextos e, como resultado,
extraíram-se os principais requisitos que orientaram as propostas e estabelecer um conjunto
básico de características que um framework de privacidade deve satisfazer para ser efetivo em
tais domínios. Finalmente, o propósito final é identificar um conjunto de requisitos adequados a
um domínio mais amplo, como uma Cidade Inteligente, que compreende domínios menores como casas, escritórios, espaços públicos, carros, etc) - que servirão de guia no desenlvolvimento
de um framework genérico de privacidade para CIs, responsável por auxiliar os cidadãos a
protegerem dados pessoais.
Nas sessões que se seguem, realiza-se uma revisão dos mecanismos de privacidade
propostos para diferentes domínios inteligentes, destacando e discutindo os principais requisitos que abordam e, por fim, fala-se sobre como a revisão contribuiu no direcionamento do
desenvolvimento do framework de privacidade.

4.1. REVISÃO SISTEMÁTICA

4.1

53

Revisão Sistemática

De acordo com (Keele, 2007), uma revisão sistemática é um meio de identificar, avaliar e
interpretar todo material relevante para um questionamento, tópico, ou fenômeno de interesse em
uma pesquisa, sumarizando evidências sobre uma tecnologia ou assunto específico, identificando
problemas em aberto na área em estudo e fornecendo subsídios para o posicionamento de novas
pesquisas.
A revisão realizada no contexto deste trabalho, buscou levantar mecanismos de privacidade aplicados a ambientes inteligentes, na busca de requisitos gerais satisfeitos nas propostas
encontradas, rumo a uma convergência para proposta de um mecanismo de privacidade específico
para um contexto maior: uma CI. O objetivo era reunir quaisquer trabalhos que tratassem de
privacidade para algum tipo de ambiente explicitamente declarado como inteligente.

4.1.1

Metodologia

Nesta subseção será descrita a estratégia de busca adotada e o processo de refinamento
dos resultados. Os passos foram guiados pela recomendações disponíveis em (Keele, 2007).
Para orientar os resultados esperados pela revisão, as seguintes questões de pesquisa foram
estabelecidas:
Questão 1: Quais abordagens de gestão de privacidade já foram propostos (academia/indústria)
dentro do contexto de smart X?
Questão 2: De que forma as arquiteturas para cidades inteligentes já existentes implementam
gestão de privacidade de dados dos cidadãos?
A primeira pergunta visava recuperar trabalhos que reportem o desenvolvimento de
frameworks ou arquiteturas focadas na provisão de privacidade em algum contexto explicitamente
declarado como inteligente; como o foco final do presente trabalho é desenvolver um framework
de privacidade para CI, a segunda pergunta visa identificar trabalhos que tenham denvolvido ou
proposto uma solução no mesmo sentido.
4.1.1.1

Processo de Busca

O processo de busca seguiu a mesma metodologia empregada em (Keele, 2007), (Chen
et al., 2009) e (Khurum and Gorschek, 2009).
Para realização das busca, foram elencadas as principais bibliotecas digitais de literatura
científica - IEEE Xplore, ACM Digital Library, CiteSeerX, ScienceDirect, SpringerLink e Scopus
- e, na busca de soluções propostas na índustria, utilizou-se o repositório de patentes do World
Intellectual Property Organization (WIPO). Devido à variação na sintaxe adotada pelos motores

4.1. REVISÃO SISTEMÁTICA

54

de busca (Chen et al., 2009), os termos de busca utilizados tiveram que ser adaptados, mantendose equivalentes seu valor lógico e semântico. Os termos de busca utilizados para cada uma das
bibliotecas pode ser encontrados no Apêndice A.
A Tabela 4.1 mostra a quantidade de trabalhos encontrados para cada uma das fontes de
dados utilizadas.
Tabela 4.1: Quantidade de trabalhos retornados por biblioteca digital

Fonte de dados
ACM
CITESEERX
IEEE
ScienceDirect
Scopus
SpringerLink
WIPO (Patentes)

]

Q1
379
139
686
59
822
57
32

]

Q2
21
0
81
0
109
52
41

A qualidade dos motores de busca pode influenciar no número de trabalhos identificados
primariamente, conforme discutido em (Chen et al., 2009). Sendo assim, caso algum outro termo
tenha sido utilizado que não os especificados, alguns trabalhos podem não ter sido incluídos.
4.1.1.2

Processo de Seleção

Nesta revisão foram selecionadas apenas trabalhos que mencionavam tratar de privacidade para algum tipo de ambiente explicitamente declarado inteligente. Foram envolvidos no
processo 5 pesquisadores, sendo 2 PhDs, 1 doutorando, 1 MSc e 1 mestrando.
A Exclusão por Título, consistiu na identificação de trabalhos cujo título sugeria a
descrição de um framework/arquitetura/modelo de gerenciamento de privacidade, aplicado a
algum contexto inteligente, eventualmente específico para cidades inteligentes; no filtro Exclusão
por Duplicação, foram removidos da lista os trabalhos que apareceram em mais de um motor
de busca; na Exclusão por Resumo, foram ignorados os trabalhos que, apesar do título adequar
ao escopo da revisão, a descrição do trabalho não condizia com as expectativas levantadas pelo
título; para os trabalhos que o resumo gerou dúvida sobre a adequação, o filtro Adequação ao
Contexto da Pesquisa foi utilizado, através da leitura da introdução, core da proposta e conclusão.
Nos casos em que mais de um trabalho reportava a mesma proposta, manteve-se o mais completo
entre eles.
Ao final, puderam ser acessados 63 trabalhos acadêmicos. Não foram encontradas
patentes de acordo com o interesse da revisão. Isso provavelmente indica a necessidade de
participação/interesse da indústria no assunto.
O resultado da aplicação de cada filtro está representado na Tabela 4.2.
Na seção a seguir serão estudados diferentes soluções de gerenciamento de privacidade
para contextos inteligentes encontradas na revisão, destacando os principais requisitos que visam
atender.

4.1. REVISÃO SISTEMÁTICA

55

Tabela 4.2: Filtros aplicados no processo de revisão

Filtro/Questão
Relevantes
Exclusão por Título
Exclusão por Duplicação
Exclusão por Resumo
Adequação ao contexto da pesquisa
Acessados

Q1
2174
328
238
77
65
45

Q2
304
37
34
19
19
18

4.2. MECANISMOS DE PRIVACIDADE PROPOSTOS PARA SMART X

4.2

56

Mecanismos de privacidade propostos para Smart X

Nesta seção, serão apresentadas as abordagens encontradas na literatura, ordenadas
primeiramente por domínio (Smart Grids, Smart Buildings e Homes, Smart Environments, Smart
Spaces, Smart Health e uma categoria genérica para demais domínios e abordagens) e, dentro de
cada domínio, ordenadas de acordo com sua data de publicação.

4.2.1

Smart Grids (SG)

Um Smart Grid é entendido como “uma rede elétrica modernizada que usa TICs para
atuar sobre/reunir informações que representam o comportamento dos fornecedores e consumidores, a fim de melhorar a eficiência, confiabilidade, economia e sustentabilidade da produção e
distribuição de energia elétrica”(Pekala, 1991). Nas linhas que se seguem serão apresentadas
abordagens encontradas na literatura para gerenciamento de privacidade neste domínio.
Em (Salehie et al., 2012), Salehi et al. apresenta uma abordagem baseada em segurança
adaptativa, seguindo as recomendações do NIST (of Standarts and Technology, 2010). Devido
à natureza altamente dinâmica das Smart grids, segurança adaptativa permite que as regras de
segurança sejam modificadas juntamente com as entidades envolvidas, bem como atuar proativa
e reativamente.
Os autores utilizam um gerenciador de adaptação Adaptation Manager(AM), que monitora e analisa mudanças contextuais na rede e no ambiente em tempo de execução, a fim de
detectar se algum requisito de privacidade ou segurança não está sendo atendido. Logo que
uma ameaça é detectada, o AM decide a ação a ser tomada. O processo de tomada de decisão
adaptativo leva em consideração incertezas e lida com múltiplos objetivos tais como adaptação a
risco (se uma das variáveis que caracterizam um risco sofre alteração, as regras de segurança
também devem ser alteradas de acordo), mitigação de ameaças à privacidade (considerando a
sensibilidade do dado ameaçado, histórico de violações anteriores, etc.) e tomada de decisão
multi-objetivos, na qual se recorre a técnicas mais sofisticadas, como aprendizagem de máquina,
em caso de conflitos.
Salehie et al. ainda aponta que o envolvimento humano exerce um papel muito importante
no processo de adaptação, através da mudança de regras de acordo com as preferências pessoais
quando algum problema de privacidade é detectado: ao invés de ser notificado sobre que ação
foi tomada, o indivíduo seria avisado sobre a ameaça, a fim de configurar o comportamento
adaptativo.
Em (Simo Fhom et al., 2010), Fhom et al. descreve um agente gerenciador de privacidade
aplicado ao contexto de Smart grids. Dois cenários são considerados, a saber, medição dinâmica
e tarifação para recursos energéticos distribuídos. Tais cenários seriam implementados em
um ambiente totalmente automatizado nas futuras redes de energia, evitando que informações
residuais revelassem padrões de uso e detalhes sobre rotinas diárias. Já que a entrada para

4.2. MECANISMOS DE PRIVACIDADE PROPOSTOS PARA SMART X

57

esses processos são informações pessoais ou outros tipos de dados diretamente relacionados aos
hábitos de uso e atividades em residências, escritório, ou dados de negócio críticos, surgem a
preocupação com o mau uso e a divulgação não controlada de tais dados.
A proposta define vários componentes projetados para prover funções e protocolos de
privacidade, possibilitando que o usuário tenha diferentes níveis de controle nos dados coletados
e informações derivadas, expressando suas preferências com relação como e quem pode ter
acesso a essas informações. A proposta é sustentada basicamento por três requisitos chaves:
direito do consumidor, onde o consumidor deve ser notificado sobre o tipo de informação e
propósito para o qual seus dados estão sendo coletados; os dados coletados não podem ser
utilizados sem que sejam considerados o consenso e as preferências do consumidor, além disso,
deve ser possível verificar se tais preferências não foram violadas; proteção dos dados, que
compreende confidencialidade e integridade das informações durante seu ciclo de vida (coleta,
armazenamento, transporte e processamento), bem como um controle de acesso que reforçe
o cumprimento das preferências do usuário e das demais entidades envovidas no processo e;
minimização de dados, onde os dados pessoais devem ser coletados ou processados somente
quando necessário, para atender a fins preestabelecidos.
Assumindo a possibilidade de armazenamento de informações a longo prazo, um mecanismo de Computação Confiável (Mitchell et al., 2005) e virtualização é utilizado, assegurando
comunicação segura com entidades externas, além do isolamento do ambiente de execução e
cumprimento das políticas estabelecidas; tanto o usuário pode especificar suas condições de
uso e exposição de dados (como já dito anteiormente), quanto o serviço pode determinar os
dados necessários e condições para sua execução. Antes que o dado seja efetivamente disponibilizado para uso, realiza-se uma negociação para alinhamento dos interesses representados nas
preferências de ambas as partes.
Em (Bohli et al., 2010), os autores apontam a adoção de medidores inteligentes de
eletricidade como uma motivação para que os consumidores economizem energia, apresentando
seu consumo em tempo real e enfatizam a decorrente possibilidade de precificação dinâmica de
acordo com a relação oferta-demanda. Um problema evidente nesta abordagem é que, usando
estas informações, a distribuidora poderia inferir hábitos do cliente, uma vez que o perfil de
consumo difere entre dispositivos. Para resolver este problema, um método de agregação de
dados é usado, de forma que o provedor tem acesso apenas ao consumo total de energia elétrica
de seus clientes, ou grupos específicos de consumidores, bem como a soma do consumo de
energia elétrica dos consumidores durante o período de faturamento.
O trabalho propõe um modelo de privacidade para mensurar o grau de privacidade que
uma aplicação de medição de energia elétrica por prover, através de um jogo criptográfico na
qual o adversário deve escolher dois cenários que, suportamente, deveriam ser indistinguíveis
para a aplicação. O desafiante vai então simular um dos cenários com o protocolo de medição
inteligente utilizado, “coletar” os dados trafegados e transcrever o resultado para o adversário,
que vencerá o jogo se puder determinar estatísticamente qual dos cenários foi simulado.

4.2. MECANISMOS DE PRIVACIDADE PROPOSTOS PARA SMART X

58

Gong & Li (Gong and Li, 2011) afirmam que a adoção de energias renováveis, ambientalmente corretas, torna os sistemas de energia mais dinâmicos, o que implica em relatórios
mais frequentes dos medidores inteligentes, gerados em intervalos de tempo reduzidos para
alguns segundos ou menos, potencialmente expondo os hábitos do usuário. Para evitar que a
presença do usuário seja detectada através da intercetação desse reports, os autores propuseram
uma abordagem para disfarce dos dados, que reproduz um padrão de transmissão para emular a
presença dos moradores, mesmo quando eles não se encontram na residência.
No mesmo contexto, Marmol et al. (Marmol et al., 2012) também vêem reports frequentes como uma ameaça à privacidade, apesar de reconhecer que a análise dos padrões de consumo
de energia podem contribuir para aprimorar as previsões do uso de energia em um futuro próximo, permitindo ações apropriadas por parte das concessionárias. O trabalho propõe uma coleta
agregada de informações de consumo a nível de regiões geográficas, expondo apenas os dados
totalizadores, sem expor a medição individual, usando um procedimento chamado additively
homomorphic encryption. Para o envio das informações, um canal seguro de comunicação é
utilizado, utilizando um esquema de credenciais anônimas ou credenciais a nível de grupo, para
evitar a identificação individual.
A medição inteligente é também o tema abordado em (Sankar et al., 2013). O trabalho
tem como objetivo determinar o consumo através de um Modelo Oculto de Markov, definida
pelo estado dos eletrodomésticos subjacentes. Os autores defendem um modelo de privacidade
abstrato, assumindo que “uma solução tecnológica específica pode não fornecer a mesma
garantia de privacidade no futuro”, além de que, o que hoje tomamos simplesmente como dados
de medição, em um futuro não tão distante, podem ser usados para inferir informações pessoais
de maneiras desconhecidas no presente.
O framework teórico proposto permite quantificar o trade-off entre a utilidade vs. privacidade dos dados mensurados. O filtro battery-based, apresentado em (Kalogridis et al., 2010), é
utilizado para disfarçar os dados coletados, ocultando a identificação de que aparelhos estariam
ligados. Um modelo de vazamento de informações é usado para assegurar o mínimo de informação possível sobre uma medição, preservando a utilidade dos dados. Assim, características
observadas que sugerissem atividades humanas seriam eliminadas, mantendo apenas informações
úteis sobre o consumo de energia.

4.2.2

Smart Buildings e Homes (SBH)

Através do controle e integração dos diferentes eletrodomésticos de uma residência ou
prédio, é possível criar um ambiente agradável, respondendo a interpéries e preferências dos
moradores, estabelecendo o que podemos chamar de casas inteligentes (em inglês, Smart homes)
(Li et al., 2008).
Privacidade de informações de localização em casas inteligentes é o assunto tratado em
(Boyer et al., 2006), onde é apresentado um “modelo, arquitetura e estudo de caso de distribuição

4.2. MECANISMOS DE PRIVACIDADE PROPOSTOS PARA SMART X

59

de dados de localização a partir da infraestrutura de um sistema de automação predial para os
usuários, de uma forma que aborde sensatamente questões de privacidade”. O trabalho propõe
um Sistema de Informação de Localização, no qual se permite que os usuários e administradores
de controlem dados sobre as pessoas e objetos monitorados, utilizando informações geradas a
partir de um sistema de gerência predial, ou Building Automated System (BAS), em inglês. O
caso de estudo baseia-se no Siebel Center BAS, Urbana, Illinois, no qual se monitora o uso de
leitores de cartões de acesso aos escritórios espalhados pelo edifício. Esta informação é agregada
com dados coletados a partir de sensores de presença e estado das portas, permitindo aos gestores
melhorar as funções de manutenção e responder a incidentes de segurança.
Uma infraestrutura sensível de privacidade para Smart Home é proposta em (Bagües
et al., 2007). Visto que a provisão de serviços sensíveis a contexto depende de sensores e
dispositivos de rastreamento para permitir personalização de serviços, a privacidade torna-se
uma grande preocupação. O trabalho descreve o Sentry@Home, um framework centrado no
usuário, “perfeitamente incorporados à infraestrutura de software da Smart home, o que permite
que a própria casa atue como um proxy de privacidade para um indivíduo monitorado”.
O framework evita a necessidade constante de intervenção do usuário disponibilizado
meios para que automatize seu consenso, baseado em preferências de privacidade adaptáveis
e flexíveis, dando controle explícito sobre que dado será exposto, quando, como, para quem e
com quais condições, permitindo também o uso do princípio da Negação Plausível, que garante
a recusa de exposição de alguma informação autorizada anteriormente e o uso de transformações
e white lies para ocultar ou disfarçar o contexto ou a identidade do usuário.
O framework evita a interação constante do usuário dando meios de automação de
consenso baseado em preferências de privacidade flexíveis e adaptáveis e dá controle explícito
sobre quais dados estão expostos, como, para quem e com que restrições. Adicionalmente, o
usuário pode incluir ruídos ou ambiguidade nas informações, dificultando descoberta de padrões,
associação ao proprietário ou mesmo comprometendo sua utilidade.
Em (Mouratidis and Giorgini, 2007), o projeto System Engineering for Security and
Dependability(SERENITY) assesta questões de privacidade em smart home empregando padrões
de segurança, oferecendo aos usuários inexperientes o pacote de padrões de segurança e dependabilidade SERENITY. Este pacote incluiu soluções de segurança validado por profissionais
experientes e implementações testadas e de facilmente implantação.
A solução foi implementada utilizando Arquitetura Orientada a Serviços. Para garantir a
confidencialidade, foi implementado um mecanismo de autorização; recursos de logging foram
implementadas, facilitando auditorias em caso de violação de privacidade; ambos os mecanismos
representam padrões de segurança. Um esquema de integração também é fornecido, responsável
por garantir a confidencialidade dos recursos distribuídos, implementado como uma combinação
dos padrões de segurança mencionados anteriormente.
O trabalho descrito em (Moncrieff et al., 2008) apresenta uma forma para se encapsular
uma política de gestão de privacidade dentro de métodos usados para controlar o acesso aos

4.2. MECANISMOS DE PRIVACIDADE PROPOSTOS PARA SMART X

60

dados coletados. O framework proposto implementa privacidade dentro do ambiente de uma
casa inteligente, fornecendo uma interface entre a implementação de privacidade e o residente,
determinando dinamicamente os dados que um observador pode acessar, dado seu contexto. As
preferências do usuário definem o nível de privacidade, minimizando a intrusão no cotidiano dos
moradores, enquanto as aplicações têm informação suficiente para desempenhar as suas funções
de forma satisfatória.
Inicialmente, é necessário coletar informações contextuais (quem, onde, como, o que, por
que) sobre o ambiente. Depois disso, o contexto deve ser interpretado e as medidas necessária
devem ser estabelecidas. Se nenhuma medida for necessária, os dados são enviados para
a aplicação que vai consumí-los; caso contrário, o filtro de privacidade determinará o nível
adequado de privacidade usando uma abordagem baseada em regras, incorporando as preferências
predefinidas. Em seguida, o filtro de dados vai usar alguma técnicas para ocultar ou obscurecer
os dados, a fim de implementar o nível de acesso aos dados apropriado; finalmente, os indivíduos
que estão sendo monitorados serão capazes de ajustar o filtro de privacidade (se necessário)
baseado nas informações disponibilizadas pelo componente de feedback e controle.

4.2.3

Smart Environment (SE)

Um Smart Environment pode ser considerado como uma materialização do que foi
dito por Mark Weiser em (Weiser et al., 1999) - um mundo físico amplamente observado por
sensores, atuadores e manipulados por outros componentes de TIC, perfeitamente incorporados
nos objetos do nosso cotidiano e conectado através de uma rede ininterrupta. Os parágrafos
seguintes descrevem abordagens de privacidade adequadas para tal contexto.
Em (Van Heerde et al., 2006), Heerde et al. aponta que informação assimétrica é o cerne
do problema de privacidade em computação ubíqua; quando isso acontece, há uma assimetria
entre as informações em posse de provedores e consumidores, pois diferentes tipos de sensores
podem ser espalhados em um determinado ambiente, capturando dados sem que as pessoas
tenham consciência e/ou consintam.
O trabalho afirma que, a inteligência de uma aplicação é proporcional à quantidade e
qualidade dos dados que podem usar; quanto maior e mais preciso os dados coletados, mais a
aplicação pode aprender o usuário sem solicitar sua intervenção. Com isso em mente, os autores
afirmam que os mecanismos tradicionais de privacidade - tais como políticas de privacidade e
anonimização - não garante a proteção adequada, já que suas regras não se adaptam dinamicamente de acordo com mudança no ambiente, nem mesmo estão aptas a cobrir aplicações que
usam dados contextulizados para inferência (os chamados propósitos não atômicos, que não se
podem dizer estar cumpridos ou não).
Políticas de Ciclo de Vida é a abordagem escolhida pelos autores, em que os atributos
armazenados degradam progressivamente de acordo com a política definida, quando condições
específicas forem satisfeitas (estas políticas são especificados pelo usuário). Os eventos são

4.2. MECANISMOS DE PRIVACIDADE PROPOSTOS PARA SMART X

61

descritos por atributos, usados para representá-los graficamente em um espaço n-dimensional,
onde cada dimensão representa a precisão de um atributo da tupla de dados original. O estado
final de um evento desencadeia a exclusão do atributo ou resulta em um atributo totalmente
degradado (sem precisão alguma).
Smart environments também são o foco na arquitetura proposta em (Lioudakis et al.,
2007). Um middleware distribuído define um domínio seguro para privacidade de informações
sensíveis; sempre que alguma informação chega nele, um mecanismo de direitos de acesso
baseados em políticas define uma barreira para o consumo de informações em nome dos serviços
e mecanismos de controle, atuando como um proxy para o fluxo de dados pessoais.
Paralelamente, como políticas predeterminadas não permitem que o usuário possa lidar
com informações complexas em situações não previstas, (Bünnig, 2009) propõe um sistema de
exposição ad-hoc1 para uma gestão de privacidade mais dinâmica e intuitivo.
Estudou-se o comportamento de exposição de infomações pessoais dos usuários a fim
de se compreender como eles correlacionam a situação à informação exposta; especificamente,
como os dados relevantes para exposição são determinados e em que nível de abstração, com que
rigor um sistema pode reproduzir o comportamento humano em tais situações e como um usuário
interagiria com um sistema com tais capacidades. Um experimento foi desenvolvido para avaliar
como os usuários lidavam com o fluxo de informações pessoais em serviços típicos encontrados
em smart environment. Estes estudos deram o fundamento necessário para o desenvolvimento
do sistema de exposição ad-hoc acima mencionado.
Uma abordagem mais simplista é mostrada em (Lupiana et al., 2010). Indivíduos foram
associados aos seus dispositivos móveis, com Bluetooth ou tag Radio-Frequency IDentification
(RFID); locais identificáveis foram associads com os identificadores exclusivos de seus sensores
embutidos, neste caso, antenas Bluetooth e leitores RFID. Quando um sensor detectava um
dispositivo, significava que um determinado usuário estava presente em um local específico,
permitindo uma aplicação dar o apoio adequado, quando necessário. Esta abordagem reduz a
quantidade de informações pessoais a serem recolhidos, de acordo com os autores, aumentando
a chance de manter a privacidade do usuário, bem como a aceitabilidade de smart environments.
Território pessoal refere-se à um espaço pessoal demarcado por limites físicos, como
paredes e portas de uma sala; com o domínio da computação ubíqua e smart environments,
territórios pessoais são elevados a uma extensão virtual àqueles limites, o que significa que não
somente entidades com acesso físico podem interferir neles, mas também a todos/tudo que possui
acesso virtual a ele. Neste contexto (Könings et al., 2010) propõe um modelo para privacidade
territorial centrado no usuário, que engloba observadores físicos e virtuais. O modelo permite
a definição de limites, incluindo o território físico e virtual, bem como que entidades estão
autorizados a interferir no território privado e como. Os canais de comunicação são estabelecidas
entre os observadores de interesse, gerando vários territórios virtuais sobre o mesmo território
1 Formado,

05/05/2014.

arranjado ou feito para uma finalidade específica. Fonte: http://bit.ly/1fIZ2mS, acessado em

4.2. MECANISMOS DE PRIVACIDADE PROPOSTOS PARA SMART X

62

físico.
Heinroth & Minker (Heinroth and Minker, 2011) afirmam que a natureza autônoma dos
smart enviroments, a acessibilidade a grandes quantidades de informações pessoais e sua presença
transparente em nossos ambientes habituais, levantam várias questões de privacidade para seus
residentes. O trabalho descreve o mecanismo de provisão de privacidade - ATRACO - baseada
na correspondência entre políticas e controle de acesso. Alguns aspectos foram considerados
requisitos básicos a serem atendidos:   

Fidelidade às preferências do usuário;
Confiança e Contexto para definição da privacidade a ser aplicada quando dados
sensíveis forem requisitads ou o usuário solicitar redução nas interveções e monitoramento;
consciência dos usuários sobre o uso de seus dados.

As preferências do usuário são representadas como políticas de privacidade, que descrevem em que condições e contexto as informações pessoais podem ser tratados, ou a interação
pode ser iniciada, durante uma atividade qualquer do usuário. Quando um evento que ameaça a
privacidade ocorre, o gerenciador do ATRACO recupera as políticas relacionadas e informações
contextuais para processar e fornecer os resultados para o controlador correspondente, que irá
utilizar os resultados para prover privacidade da melhor forma possível. Se algum conflito ocorre
durante o processo, o usuário pode ser solicitado para estabelecer uma resolução, como por
exemplo, modificar suas políticas ou adicionar alguma exceção à política existente.

4.2.4

Smart Spaces (SS)

De acordo com a literatura, Smart Spaces - a unidade física mínima capaz de conter
usuários - são espaços inteligentes que consistem de dispositivos heterogêneos (sensores, computadores, dispositivos dos usuários, etc.) capazes de cooperar de forma dinâmica e permitir aos
usuários interagir e prover serviços em seu domínio (Suomalainen and Hyttinen, 2011; Cho et al.,
2004). A seguir, serão tratados os mecanismos de gestão de privacidade encontrados, aplicadas a
este domínio.
Em (Cho et al., 2004), os autores afirma que, para minimizar ou poupar interações com o
usuário em espaços inteligentes, os serviços são comumente invisíveis para os usuários, o que
aumenta o risco de violação de privacidade.
Para prover estes serviços, geralmente é necessário coletar cada vez mais dados do
usuário, nestes casos, é necessário que se assuma o papel de sistema de vigilância para evitar
que os dados pessoas sejam expostas. Neste contexto, os autores apresentam um mecanismo de
proteção da localização do usuário em Smart Spaces.

4.2. MECANISMOS DE PRIVACIDADE PROPOSTOS PARA SMART X

63

Quando os atributos de identificação e preferências do usuário se enquadram na categoria
de dados pessoais, um Espaço de Proteção de Privacidade é estabelecido para prevenir que
informações privadas sejam expostas. Sempre que o espaço identificar a presença do usuário, um
mecanismo não intrusivo de autenticação é iniciado, removendo ou minizando a intervenção do
usuário; uma vez autenticado, o usuário tem permissão para consumir vários serviços, interagindo
com o espaço através de comunicação direta ou indireta (quando o dispositivo do usuário se
comunica com o espaço em seu nome).
O trabalho trata especificamente de dados relativos à localização. A fim de minimizar a
intrusão nas atividades do usuário e prover serviços transparentes e proativos, o próprio espaço
deve coletar informações sobre a localização do usuário, o que pode incorrer em violação de
privacidade devido ao mau uso ou abuso. Para resolver este problema, o usuário pode gerenciar
suas informações de localização e especificar suas regras de exposição através de políticas.
O trabalho apresentado em (Maisonnasse et al., 2006) propõe uma abordagem perceptual
baseada em interações entre humanos e objetos, tratando do usuário e seus relacionamentos da
melhor forma para garantia de privacidade. O trabalho quantifica os relacionamentos especificando quem presta atenção em quem/quê, assumindo que o foco de um indivíduo seleciona que
objetos estarão em sua mente; as relações de atenção (ou foco) homem-objeto são quantificadas
através de um número que representa a força dessa ligação.
O framework pode delimitar privacidade estabelecendo quais objetos são comuns e quais
são específicos entre diferentes usuários, de forma que a delimitação de privacidade possa ser
definida computacionalmente. Um modelo de atenção, baseado em (Sperber et al., 1986), foi
proposto como uma adaptação do Modelo Gravitacional, especificamente a 1ª Lei da Gravitação
Universal - formulada por Isaac Newton no início do Século XVII - para simular a atração da
atenção de um indivíduo para uma pessoa ou objeto.
A atenção é calculada como uma combinação linear de fatores internos e externos. O
fatores internos são determinados pelo objetivo ou tarefa atual do indivíduo; os fatores externos
são determinados pela atração da atenção vinda de outras pessoas, objetos e/ou artefatos, que
compartilham o mesmo ambiente. Cada pessoa, ou objeto, tem uma massa que permite calcular
o vetor de atração de cada pessoa em direção a outras, bem como objetos próximos, usando
o modelo gravitacional. Quando a atenção de alguém é vista como focada em algum recurso
previamente configurado como privado, uma ação predefinida é disparada para evitar violação
de privacidade.
Em (Liampotis et al., 2009) é apresentado um framework de privacidade para o autoaperfeiçoamento de espaços inteligentes pessoais - do inglês Personal Smart Spaces (PSSs). PSSs
são um conjunto de serviços específicos, controlados ou administrados por um único usuário,
disponibilizados dentro de um espaço dinâmico de dispositivos conectados. Esses serviços
compõe um ambiente ubíquo, no qual os dispositivos são colocados, coletando dados dos
usuários de forma transparente, estabelecendo seu perfil sem avisá-lo ou obter seu consentimento.
O risco de exposição de dados em tais contextos é muito alto.

4.2. MECANISMOS DE PRIVACIDADE PROPOSTOS PARA SMART X

64

O trabalho lida especificamente com identidade digital, i.e., conjunto de atributos de
utilidade para algum serviço. Logo que o interesse de consumo de um serviço é manifestado pelo
usuário, uma negociação entre os requisitos do serviço e as preferências do usuário é executada,
estabelecendo um estado de compatibilidade entre o PPS e o provedor do serviço. Depois disso
a identidade necessária é recuperada (ou gerada, caso não tenha sido encontrado uma que esteja
adequada aos requisitos acordados com o Provedor de Serviço (PS)) e a provisão do serviço
pode ser iniciada.
O framework proposto foi dividido da seguinte forma:   

O Gerenciador de Identidades gerencia as múltiplas identidades digitais do usuário e
seleciona a identidade aplicável para cada transação (uso de algum serviço);
O Gerenciador de Privacidade gerencia políticas e preferências, avalia preferências
e gera políticas a serem usada no processo de negociação de privacidade. Se alguma
modificação é identificada durante a provisão do serviço, este módulo dispara uma
avaliação das preferências de privacidade, que pode levar a uma nova negociação de
políticas ou a requisição de uma nova identidade;
O Gerenciador de Confiança é responsável por estabelecer o conceito de confiança
dentro do framework, lidando com [re]avaliação de confiança entre pares de PSSs,
com base no histórico de interação e, por fim, inferir o nível de confiança quando
nenhuma relação fo estabelecida anteriormente.

Modelos de serviço contemporâneos prometem serviços personalizados para todos os
usuários, a qualquer hora, em qualquer lugar. Para que um serviço seja satisfatoriamente
personalizado, os provedores de serviço precisam reunir informações suficientes sobre o usuário,
a fim de prover uma experiência mais sofisticada e uma informação de maior valor agregado.
Tamanha quantidade de informação levanta sérias preocupaçoes entre consumidores de serviços.
Considerando tal cenários, Oyomno et al. (Oyomno et al., 2011) afirma que “a preservação da privacidade por diversos PSs produz inúmeras soluções heterogêneas e incompatíveis,
específicas para serviços e aplicações”. Para resolver este problema, os autores propões um
sistema de aplicação de políticas de privacidade para serviços ubíquos, capaz de alterar dinamicamente o uso das políticas e as respectivas preferências do usuário, com o objetivo de padronizar
a representação e negociação da troca de informações pessoais entre os consumidores e provedores de serviços em espaços inteligentes. Consumidores de serviço podem definir políticas de
exposição de dados e determinar quais informações pessoais podem ser compartilhados com
os provedores de serviço. O tratamento das informações pessoais, espcificado nas políticas de
privacidade, é supervisionado por uma autoridade escolhida para este fim.
Um conceito interessante apresentado neste trabalho é o nível da invasão de privacidade,
calculado levando-se em consideração a sensibilidade das informações pessoais solicitadas e a
forma como serão tratadas.

4.2. MECANISMOS DE PRIVACIDADE PROPOSTOS PARA SMART X

4.2.5

65

Smart Health (SH)

Smart Health é visto na literatura como uma solução para facilitar o acompanhamento
médico de indivíduos cuja condição requer cuidados constantes, através de monitoramento e
cuidados médicos em domicílio (Townsend et al., 2011). Nos parágrafos que se seguem, serão
vistas soluções propostas para gerenciamento de privacidade neste domínio.
Em (Busnel et al., 2008) é descrita uma assistência de saúde para residências, com foco
em atender uma população crescente de idosos, suscetíveis a problemas de saúde, que podem
levar a perda de autonomia e maior fragilidade, com consequente redução da qualidade de vida.
De acordo com os autores, desenvolvedores de aplicação para estes ambientes geralmente
não são experts em segurança, sendo assim, o trabalho propõe a utilização de padrões de
segurança, que eles disponibilizam através de Application Programming Interfaces (APIs), para
fornecer as soluções necessárias para aplicações desenvolvidas para tal domínio. Um padrão
de segurança descreve um problema de segurança particularmente recorrente, que surge em
contextos específicos, apresentando uma solução genérica comprovada.
O uso de TICs na área da saúde tem permitido que pessoas debilitadas, especialmente
idosos, possam ser assistidas a domicílio. Com o uso de sensores, pode-se monitorar desde o ambiente doméstico até os sinais vitais do paciente, estabelecendo um perfil médico extremamente
preciso e atualizado. O problema é que a geração desse tipo de dados oferece oportunidades de
violação de segurança e privacidade, tornando-se crítico que os dados coletados sejam protegidos
e gerenciados, visando fazer com que as pessoas sintam-se seguras quando utilizando aplicações
inteligente de cuidados médicos domiciliar.
Guennoun & El- Khatib (Guennoun and El-Khatib, 2009) apresentam uma arquitetura
para controle de acesso baseado em contexto, para cumprir as exigências de segurança da
proteção de dados médicos, na qual a autorização de acesso será decidida tendo em conta a
identidade do solicitante e as condições médicas (contexto) do paciente.
A arquitetura tem três componentes principais: a) um gerenciador de contexto e coleta
de dados - responsável pela coleta de informações contextuais e de saúde a partir de informações
dos residentes de uma casa; b) o gerenciador de controle de acesso, que recebe as solicitações das
aplicações para acessar os dados médicos, realiza a autenticação e, utilizando dados contextuais
do banco de dados, avalia as políticas de controle de acesso para decidir se permite ou nega
o acesso aos dados; c) o banco de dados, composto por um conjunto de dados médicos e
contextuais.

4.2.6

Outros domínios e Abordagens (OD)

Em (Vagts et al., 2009) é proposto o NEST, um framework para segurar privacidade em
sistemas de Smart Surveillance. Ao contrário de sistemas de vigilância tradicionais, que operam
sob uma abordagem orientada a sensores, a arquitetura do NEST opta por uma abordagem
orientada a tarefas, desde a utilização de um recurso até algum passo do processamento. Os

4.2. MECANISMOS DE PRIVACIDADE PROPOSTOS PARA SMART X

66

dados revelevantes, coletados diretamente dos sensores do sistema de vigilância, são agrupados
ao OOWW (Object-Oriented World Model) (Bauer et al., 2009), responsável por assegurar
privacidade juntamente com o Gerenciador de Privacidade.
Por sua vez, o Gerenciador de Privacidade é composto por um Anonimizador, que além
de anonimizar os dados, também remove informações irrelevantes dos dados coletados; como
todas as informações está sujeitos a direitos de uso, um Gereciador de Direitos Digitais assegura
que os dados serão usado apenas em um contexto específico para o qual foram coletados, durante
a execução da tarefa correspondente; um Gerenciador de Identidades, que gerencia todos os
objetos e suas entidades; um módulo para Execução de Privacidade responsável por aplicar leis e
princípios, baseados em (Publishing and OECD. Publishing, 2002) e; um módulo de interação,
através do qual os usuários observados podem gerenciar seus dados pessoais.
Além dos domínios estudados, outros como Smart Surveillance (Vagts et al., 2009) e
Smart Cars (LUO, 2004) podem ter seus próprios mecanismos de privacidade.
Além dos mecanismos de privacidade reportados nesta revisão, alguns outros podem
ser estudados para reforçar a implementação de privacidade em contextos inteligentes, como
credenciais anônimas (Cheung et al., 2011), custódia de terceiros (Efthymiou and Kalogridis,
2010), pseudônimos (Roduner, 2003), Gateways (Simo Fhom et al., 2010), moderadores de
assinatura de carga (Kalogridis et al., 2010) e esquemas de autenticação para provisão de
privacidade (Chim et al., 2011; Siddiqui et al., 2012).
Depois de ter estudado todas as abordagens descritas, levantaram-se alguns requisitos
comuns de privacidade, que serão discutidos na seção seguinte.

4.3. REQUISITOS COMUNS

4.3

67

Requisitos Comuns

Nesta seção serão discutidos os requisitos identificado relacionando-so aos trabalhos que
os implementam, como mostra a Tabela 4.3. Entende-se que um trabalho satisfaz determinado
requisito se ele possui um componnte, processo e/ou técnica específicos que implementa a
solução representada por cada requisito, como segue:
Tabela 4.3: Uso de requisitos de privacidade em Smart X por domínio estudado
Requisito
Anonimização
Aplicação de políticas
Reputação
Controles adaptáveis
Controle de acesso
Controle/Feedback do usuário
Correspondência de Interesses
Degradação de dados
Disfarce de dados
Especificação de preferências
Histórico de interação
Interação mínima com o usuário
Minimização de dados
Múltiplas identidades
Responsabilidade
Sensibilidade de dados
Tipo/Propósito da informação

SG

SB

1

1

2
1
3
1

1
2
3

SE

4
1

SS
1
2
1
1
1
1
3

SH

3
1
1

1

SC
1

1
1
1

OD
2
1

1

1
2
1

2
2

3

1
1

4

1

2
1

1
2
1

1

1

1
4
2

2
3

1

1
1

1

O requisito responsabilidade - do termo em inglês accountability - é tratado em (Roduner, 2003) e refere-se ao compromisso que uma pessoa/organização assume quando faz parte
de uma transação; especificamente, quando consumindo/provendo um serviço, os registros de interação dessa entidade devem ser associados a sua identidade a fim de se permitir o rastreamento
dessa transação futuramente.
Degradação de dados, usada em (Van Heerde et al., 2006), associa uma taxa de degradação a dados sensíveis, de forma que se torne eventualmente inútil, devido à sua perda de
precisão.
Em (Sankar et al., 2013; Bagües et al., 2007; Gong and Li, 2011; Moncrieff et al., 2008)
o disfarce de dados é aplicado para esconder identidade e contexto do usuário, ou mesmo
emular suas atividades para evitar identificação de hábitos pessoais.
Sensibilidade de dados (ou grau de invasão de privacidade), encontrado em (Salehie
et al., 2012; Sankar et al., 2013; Boyer et al., 2006; Moncrieff et al., 2008; Oyomno et al., 2011),
mensura, como o próprio nome diz, quão sensível um dado pessoal é a fim de estabelecer as
regras apropriadas para sua manipulação.
Em (Liampotis et al., 2009) é apresentado um mecanismo para estabelecer reputação,

4.3. REQUISITOS COMUNS

68

que é útil quando o usuário vai consumir um serviço oferecido por um provedor desconhecido,
não possuindo parâmetro algum para determinar sua reputação.
Minimização da interação do usuário é vista por (Bagües et al., 2007; Cho et al., 2004)
com um requisito importante quando se trata de serviços ubíquos. Quanto menos o usuário
tiver que dispender tempo inserindo dados, mais agradável será sua interação. Particularmente,
a menos que se garanta um comportamento cognitivo da aplicação quanto às preferências do
usuário próximo do perfeito, este requisito não pode ferir nem o consentimento explícito, nem a
conveniência, por que afetaria diretamente a provisão de privacidade.
O controle de acesso, mesmo sendo tradicionalmente utilizado em sistemas de informação aplicados aos mais diversificados domínios, (Simo Fhom et al., 2010; Heinroth and Minker,
2011; Boyer et al., 2006; Mouratidis and Giorgini, 2007; Liampotis et al., 2009; Lioudakis et al.,
2007; Guennoun and El-Khatib, 2009; Könings et al., 2010) apontam este requisito como sendo
um método com contribuições efetivas na busca de evitar que dados pessoais sejam acessados
por entitades não autorizadas.
Em (Liampotis et al., 2009; Vagts et al., 2009; Roduner, 2003), anonimização é usado
como uma alternativa para evitar que, baseado em diferentes subconjunto de atributos pessoais,
um indivíduo seja identificado.
O conhecimento dos propósito e tipo de informação é considerado um requisito importante, já que determina que dados estão sendo capturados e para quais propósitos serão usados.
Os trabalhos que implementam este requisito são (Bagües et al., 2007; Simo Fhom et al., 2010;
Bohli et al., 2010; Boyer et al., 2006; Moncrieff et al., 2008; Oyomno et al., 2011; Guennoun
and El-Khatib, 2009; Vagts et al., 2009).
Um outro requisito levantado em (Liampotis et al., 2009; Vagts et al., 2009; Roduner,
2003), é o histórico de interação, que registra cada ação do usuário ao interagir com um serviço,
permitindo, por exemplo, que os provedores de serviço sejam avaliados de acordo com interações
anteriores, estabelecendo sua reputação, e também extrair preferência do usuários quanto a regras
pessoas de exposição/não exposição de suas informações de acordo com o contexto.
Múltiplas identidades é um requisito essencial que justifica a adequação de serviços
a contextos, satisfeito em (Liampotis et al., 2009; Vagts et al., 2009; Roduner, 2003), no qual
dados pessoais são gerenciados e, para cada transação, um conjunto adequado de atributos é
usado como identidade, evitando que todo seu perfil seja revelado.
Correspondência de interesses, encontrado em (Simo Fhom et al., 2010; Cho et al.,
2004; Liampotis et al., 2009; Westin, 1968), compreende as preferências de ambos os lados da
provisão de serviço - provedor e consumidor - ajustando as características do serviço aos dados
disponíveis para exposição.
Controles de privacidade adaptáveis elevam os serviços ubíquos de um configuração
de exposição estática e preconfiguração para uma dinâmica, aderindo à eles um comportamento
flexível. Este requisito é implementado em (Bagües et al., 2007; Salehie et al., 2012; Oyomno
et al., 2011; Busnel et al., 2008).

4.3. REQUISITOS COMUNS

69

Aplicação de políticas, requisito encontrado em (Simo Fhom et al., 2010; Mouratidis
and Giorgini, 2007; Liampotis et al., 2009; Oyomno et al., 2011; Lioudakis et al., 2009; Vagts
et al., 2009), indica uma entidade específica na arquitetura ou framework cuja responsabilidade é
assegurar que nenhuma política de privacidade está sendo violada.
Minimização de dados, aplicado em (Simo Fhom et al., 2010; Bohli et al., 2010; Sankar
et al., 2013; Moncrieff et al., 2008; Lupiana et al., 2010; Guennoun and El-Khatib, 2009; Vagts
et al., 2009), sugere que os dados pessoais requeridos/providos por/para um provedor de serviço
deve ser estritamente necessário para provisão do serviço em nível satisfatório.
Controle/Feedback do usuário assegura que o usuário estará totalmente consciente de
quais dados, quando, como, por quanto tempo e por que; também garante que possa alterar ou
negar o uso de seus dados quando quiser, bem como estabelecer suas preferências sobre em quais
contextos seus dados podem ser usados. Este requisito pode ser encontrado em (Bagües et al.,
2007; Simo Fhom et al., 2010; Cho et al., 2004; Heinroth and Minker, 2011; Salehie et al., 2012;
Gong and Li, 2011; Boyer et al., 2006; Moncrieff et al., 2008; Guennoun and El-Khatib, 2009;
Vagts et al., 2009).
Especificação de preferências diz que ambos lados envolvidos na provisão de um
serviço pode determinar suas próprias condições, seja para prover (ou não) dado ou serviço.
Este requisito foi o mais predominante, sendo encontrado nos seguintes trabalhos (Bagües et al.,
2007; Simo Fhom et al., 2010; Maisonnasse et al., 2006; Cho et al., 2004; Heinroth and Minker,
2011; Moncrieff et al., 2008; Van Heerde et al., 2006; Lioudakis et al., 2007; Liampotis et al.,
2009; Oyomno et al., 2011; Busnel et al., 2008; Lioudakis et al., 2009).

4.4. RESULTADOS DA REVISÃO

4.4

70

Resultados da Revisão

A revisão apresentada consistiu de um conjunto de mecanismos de privacidade propostos
para diferentes tipos de domínios inteligentes. O objetivo era entender as preocupações que
surgem quando se lida com privacidade em tais contexto e, como resultado, extrair os principais
requisitos para os quais foram dirigidos os esforços na literatura estudada. A intenção era se
estabelecer um conjunto de características básicas que um framework de privacidade deve ter
para ser efetivo em tais domínios.
Deve-se lembrar que, depois de iniciado o estudo como um revisão sistemática, executouse uma pesquisa exploratória na qual foram encontrados trabalhos mais interessantes que na
revisão sistemática. Portanto, devido à sua natureza exploratória, é possível que algum trabalho
importante ainda não tenha sido incluso, apesar dos esforços exaustivos dos pesquisadores
envolvidos.
Baseado nos trabalhos relacionados ao gerenciamento de privacidade em Smart X,
descobriu-se que a maioria das soluções de privacidade são implementadas como um conjunto de regras, ou políticas, às quais informações pessoais devem ser submetidas a fim de
se determinar o que pode, ou não, ser exposta. Também descobriu-se algumas abordagens
interessantes (e incomuns) para melhorar a implementação de soluções de privacidade, tais como
degradação de dados e sensibilidade de dados.
Como pode ser observado na Tabelas 4.3, baseado nos trabalhos estudados não se
identificaram grandes preocupações com privacidade em domínios como Smart Health e Smart
City. Entretanto, o domínio de Smart Places é o que cobre a maioria dos requisitos identificados.
Na verdade, muitos desses requisitos são satisfeitos no framework proposto em (Liampotis et al.,
2009). Notou-se também a escassez de propostas de gestão de privacidade para o domínio
de interesse deste trabalho, Cidades Inteligentes, indicando uma grande oportunidade para o
desenvolvimento da proposta a ser apresentada.
Na maioria dos requisitos implementados pelos trabalhos estudados pode-se identificar a
falta de envolvimento do usuário, resumindo se a soluções puramente técnicas. Isso pode ser
visto como um problema, já que não há como avaliar o quão eficaz é a solução proposta, com
base em feedback de usuário. Além disso, quando o usuário não está envolvido na solução, ele
pode optar ou por não fornecer dado algum - tirando a razão de ser de ambientes inteligentes,
que é melhorar a qualidade de vida das pessoas - evitando qualquer tipo de exposição, ou ele
pode, de alguma forma, perder o controle de seus próprios dados sem visibilidade de em que
extensão serão usado, por quanto tempo, por quem, etc., fazendo com que a solução seja efetiva
somente em um cenário ou domínio extremamente limitado.
Depois de avaliar como os requisitos levantadas por este trabalho se encaixariam no
contexto de cidade inteligente, pôde-se encontrar evidências da importância da construção de
um framework para detalhar princípios e diretrizes para privacidade de dados em domínios
inteligentes como um todo. Sendo assim, o capítulo que se segue concentra-se na construção

4.4. RESULTADOS DA REVISÃO

71

do framework de privacidade, focado na preservação do cidadão dados pessoais, incentivando
engajamento, dando controle conveniente ao usuário e assegurando gerencimento durante todo o
ciclo de vida de seus dados nestes domínios inteligentes.

72

5
Go!SIP, O Framework
I can accept failure, everyone fails at something.
But I can’t accept not trying.
—MICHAEL JORDAN

Este capítulo vai apresentar o framework de privacidade para pessoas como sensores em
CIs proposto neste trabalho, baseado nos conceitos teóricos, problemas e contextos descritos
anteriormente.
O nome escolhido para futuras referências ao mesmo foi Go!SIP. O Go! (do verbo
ir, avançar, em inglês) é uma alusão ao estímulo à exposição segura de dados, através das
diretrizes propostas neste trabalho; o SIP é uma sigla para Smart Identification Privacy (do
inglês privacidade de identificação inteligente); por sua vez, o nome O Go!SIP é um trocadilho
oportuno da palavra gossip, que é o verbo em inglês para fofocar, bisbilhotar, mexericar.
No capítulo anterior, foi apresentada a revisão que destacou os principais requisitos
abordados em propostas de mecanismos de privacidade, aplicados em diferentes domínios
inteligentes. No total, foram levantados 19 requisitos, como mostra a Tabela 4.3. Sendo a
ideia deste trabalho prover privacidade dentro de um paradigma centrado no usuário, em uma
discussão com os pesquisadores que participaram da revisão reportada no capítulo anterior, 13
requisitos entendidos como adequados à proposta do framework foram selecionados e serão
apresentados a seguir. Os demais requisitos não foram inclusos pois tratavam-se de características
mais específicas, que foram reservados para serem adicionados à medida que a proposta evoluir,
em trabalhos futuros (como é o caso da reputação, anonimização e disfarce de dados). 
Aplicação de Políticas 

Controle/Feedback do usuário 

Correspondência de interesses 

Degradação de dados

73 

Especificação de preferências 

Histórico de interação 

Interação mínima com o usuário 

Minimização de dados 

Múltiplas identidades 

Reputação 

Responsabilidade 

Sensibilidade de dados 

Tipo/Propósito da informação

A partir da seção que se segue, será apresentado como o Go!SIP foi concebido, bem
como a descrição de cada uma de suas partes.

5.1. DESCRIÇÃO DO GO!SIP

5.1

74

Descrição do Go!SIP

A composição do Go!SIP foi iniciada com a seguinte observação: a forma como cada
requisito materializava sua contribuição na privacidade era diferente. O requisito Anonimização,
por exemplo, contribui atuando diretamente no dado a ser exposto, diferente da Especificação
de Preferências - que envolve a figura do usuário e do Provedor de Serviço para determinar
suas condições de exposição - ou ainda da Correspondência de Interesses, que remete à própria
dinâmica de como o serviço equilibra os interesses envolvidos na provisão/consumo do serviço.
Baseado nesta observação, criou-se uma organização para os requisitos extraídos, agrupando-os de acordo com o seu objeto-alvo no cumprimento da privacidade. Três paradigmas
são descritos a seguir, representando essa organização: Paradigma Centrado no Dado (PCD),
Paradigma Centrado no Usuário (PCU) e Paradigma Centrado no Serviço (PCS).

5.1.1

Classificação Baseada em Paradigmas

5.1.1.1

Paradigma Centrado no Dado (PCD)

O PCD caracteriza-se pela atenção especial ao dado, sua natureza, estado, manipulação,
contexto e respectivas regras/políticas específicas.
5.1.1.2

Paradigma Centrado no Usuário (PCU)

No PCU, a centralização no usuário muda o ponto de vista de importância quando trata-se
de privacidade. Ainda que manter (ou não) a privacidade dependa de expor/omitir algum dado,
este paradigma indica participação direta do usuário, manifestação de suas preferências, bem
como o impacto (maléfico/benéfico) dela decorrente.
5.1.1.3

Paradigma Centrado no Serviço (PCS)

No PCS, o tratamento é feito independente do indivíduo em questão ou do dado sendo
avaliado. Elementos que se enquadrem nesta categoria vão tratar do serviço, a forma como
é/deve ser provido e/ou consumido, incluindo sua infraestrutura, configuração e dinâmica de
funcionamento, ou ainda podem tratar de um característica que está em um nível de abstração
acima de dados e usuários envolvidos, que se refira à transação em andamento durante a utilização
do serviço.

5.1.2

Classificação dos Requisitos

Considerando a definição dos tipos de paradigmas acima, a classificação dos requisitos,
baseando-se na descrição apresentada na Seção 4.3; a Tabela 5.1 representa um resumo dessa
classificação.

5.1. DESCRIÇÃO DO GO!SIP

75

Tabela 5.1: Classificação do requisitos de acordo com os paradigmas PCD, PCU e PCS
Requisito
Anonimização
Aplicação de políticas
Controle de acesso
Controles adaptáveis
Controle/Feedback do usuário
Correspondência de Interesses
Degradação de dados
Disfarce de dados
Especificação de preferências
Histórico de interação
Interação mínima com o usuário
Minimização de dados
Múltiplas identidades
Reputação
Responsabilidade
Sensibilidade de dados
Tipo/Propósito da informação

PCD
X

PCU

PCS
X
X
X

X
X

X

X
X
X
X
X

X
X

X
X
X
X
X
X

X

A anonimização implica em utilizar diversos subconjuntos de atributos de um indivíduo,
de modo que não se possa dizer a quem pertence baseando-se pelos atributos selecionados para o
consumo de um serviço. A manipulação dos dados indica o enquadramento do requisito no PCD.
A aplicação de políticas envolve a forma como o serviço decide aplicar suas regras,
definidas arbitrariamente, quer seja nas interfaces definidas para sua utilização, na transferência
de informação, em alguma etapa do gerenciamento do dado (coleta, armazenamento, utilização,
etc.) ou mesmo na forma como o usuário é envolvido. Essa generalização no propósito da
aplicação de políticas classifica este requisito como PCS.
O controle de acesso garante a autorização de acesso aos dados por indivíduos e entidades, sendo responsabilidade do serviço assegurar essa característica, este requisito classifica-se
no PCS.
Os controles adaptáveis de privacidade envolvem a disponibilização de mecanismos
flexíveis de estabelecimento de regras dos dados dos indivíduos por part do provedor de serviço,
caracterizando-se como parte do PCS.
Controle/Feedback do usuário implica na capacidade do serviço de garantir o controle
do usuário sobre seus dados, bem como garantir explicitamente que estes estão em conformidade
com suas preferências. Sendo um requisito implementado a nível de serviço, classifica-se como
PCS.
A correspondência de interesses é considerada híbrida, PCU/PCS, pois implica no
tratamento tanto das preferência do usuário em relação ao contexto de exposição de seus dados,
quanto das configurações e dinâmica do serviço a ser consumido.
A degradação de dados, classificada como PCD, implica em associar um valor de

5.1. DESCRIÇÃO DO GO!SIP

76

Figura 5.1: Diagrama dos Níveis de Implementação de Privacidade que compõe o
Go!SIP

precisão aos dados, impactando em sua utilidade.
Técnicas de disfarce de dados, também manipulam diretamente os dados, distorcendoos ou inserindo ruídos, de modo que, caso interceptados durante a transmissão, não exponha os
indivíduo a que pertencem. Este requisito é classificado como PCD.
A especificação de preferências é considerada híbrida, PCU/PCS, pois implica na
definição de preferência do usuário em relação ao contexto de exposição de seus dados e na
definição do requisitos de provisão do serviço.
O histórico de interação também é considerado híbrido, PCU/PCS, pois representa a
particpação do usuário dentro da dinâmica de funcionamento do serviço.
A interação mínima com o usuário implica na disponibilização de meios para que
o usuário implemente suas preferências de privacidade, sem aumentar a carga cognitiva na
utilização do serviço. Este requisito é classificado como PCU.
A minimização de dados requer que o conjunto de dados que compõe a identidade
utilizada ao consumir um serviço seja composta pelo número mínimo de atributos possível. Este
requisito é classificado como PCD.

5.1. DESCRIÇÃO DO GO!SIP

77

As múltiplas identidades envolvem a utilização de dados que sejam estritamente adequadas ao contexto de um serviço. Este requisito também é classificado como PCD.
A reputação de um provedor de serviço é útil quando algum serviço deste vier a ser
utilizado por um indivíduo pela primeira vez; cenário vislumbrado como recorrente com certa
frequência em uma cidade, visto que as pessoas estão livremente em movimento. Esta reputação
pode ser determinada levando em consideração tanto os dados que requer para utilização de
algum serviço, quanto pelo feedback dados pelos indivíduos que consumiram o serviço. Sendo
assim, este requisito é classificado como PCS.
A responsabilidade implica em conscientizar o usuário de que, cabe a ele mesmo,
ponderar suas escolhas e preferências expressas em relação à sua privacidade. Este requisito é
classificado como PCU.
O requisito tipo/propósito da informação é considerado híbrido, PCD/PCS, pois envolve tanto a natureza do dado em questão, quando a forma como o serviço vai utilizá-lo.

5.2. CONSIDERAÇÕES E APLICAÇÃO DO GO!SIP

5.2

78

Considerações e Aplicação do Go!SIP

Partindo da classificação apresentada na Subseção 5.1.2, pode se elaborar os níveis determinados pelo framework, nomeados de acordo com os paradigmas, como mostra a Figura 5.1.
Cada nível representa um paradigma de implementação de privacidade - o Nível de Dado representa o PCD, o Nível de Usuário representa o PCU e o Nível de Serviço representa o PCS - no
qual o dado, usuário ou serviço é priorizado, em detrimento dos demais, através da satisfação dos
requisitos especificados. Devido à natureza de alguns deles, os níveis que compreendem podem
se sobrepor, por exemplo, o Tipo/Propósito da Informação e a Correspondência de Interesses, que
se encontram na intersecção dos Níveis de Dado/Serviço e Usuário/Serviço, respectivamente.
A ideia é que, a medida que os requisitos são satisfeitos, os Níveis de implementação de
privacidade são completados gradativamente, possibilitando a comparação de diferentes soluções,
tanto em relação ao paradigma predominante, quanto em relação aos requisitos dentro de cada
Nível. Se em algum momento a necessidade apontar a inclusão de novos requisitos, como uma
evolução do framework, os mesmos podem ser classificados e inclusos, gerando uma atualização
na classificação baseada em paradigmas das soluções, mantendo o carater comparativo entre
elas.
Ainda sobre os paradigmas, identifica-se que o PCS é o mais frequente. Isso se deve em
parte à predominância que o domínio de Smart Spaces possui na implementação de requisitos
levantados na fase de pesquisa, o que impacta na supervalorização dos serviços e respectivas
características imersos neste contexto; além disso, a solução de privacidade descrita nos trabalhos
propostos para outros domínios são construídas a partir da relação provedor/consumidor de
serviços, o que diminui a relevância dos outros paradigmas (PCD e PCU).
A seguir, os domínios estudados na revisão, apresentada no Capítulo 4, serão avaliados
quanto aos requisitos que os trabalhos descritos implementam, conforme mostra a Tabela 5.2.
Para cada requisito foi somado 1 ponto para o trabalho, no paradigma ao qual pertence o requisito;
nos caso em que um requisito pertence a mais de um paradigma, o valor foi divido igualmente
entre os paradigmas. A última coluna representa a classificação do domínio, considerando
o paradigma predominante. Os trabalho inclusos em Outros Domínios, na Seção 4.2, foram
omitidos, por não tratar-se de um domínio específico, dificultando a análise.
Tabela 5.2: Domínios estudados e seu paradigma predominante
Requisito
Smart Grids
Smart Buildings e Homes
Smart Environment
Smart Spaces
Smart Health

PCD
9
5.5
3
3.5
1.5

PCU
4
5
2.5
6
1.5

PCS
7
6.5
5.5
10.5
3

Paradigma Predominante
PCD
PCS
PCS
PCS
PCS

Como visto, a grande maioria dos domínios apresentam um viés voltado para o serviço a
ser prestado. Isso pode decorrer fato de, nesses domínios, o estado atual da área estar na fase

5.2. CONSIDERAÇÕES E APLICAÇÃO DO GO!SIP

79

da exploração das possibilidades e capacidades das aplicações que podem ser disponibilizadas,
tornando-se necessário abordar privacidade para essas situações.
Quando ao domínio de Smart Grids (SG), este teve como paradigma predominante
o foco no dado. Ao contrário dos demais domínios, como o tipo serviço prestado aqui são
mais padronizados, variando entre medição, balanceamente entre oferta e demanda, consumo e
correlatos, a preocupação maior seja com o dado manipulado e o que pode ser feito neste sentido
para prover privacidades.
De um modo geral, baseando-se nos trabalhos estudados, vê-se que a preocupação com
dados e serviços ainda supera a preocupação com o usuário na maioria dos domínios. Há que se
consentir que não é possível um trabalho prover privacidade sem atacar as três frentes: dados,
usuário e serviço. Sendo assim, a proposta do Go!SIP é convergir a implementação dos requisitos
focados em dados e serviços para controle e/ou consciência do usuário, de modo que a percepção
da solução como um todo, seja que o controle está, de fato, na mão do indivíduo. Com este
propósito, a seção a seguir apresenta a materialização dos requisitos Preferência do Usuário
(PCU/PCS), Degradação de Dados (PCD), Sensibilidade de Dados (PCD) e Reputação (PCS),
através de uma abordagem de convergência desses requisitos para auxiliar o usuário em seu
momento de decisão de exposição de seus dados pessoais.

5.3. CONVERGÊNCIA DE PARADIGMAS: UMA ABORDAGEM QUANTITATIVA

5.3

80

Convergência de Paradigmas: Uma Abordagem Quantitativa

O intuito principal deste trabalho é permitir que o usuário tenha mais informações em
mãos no momento de decidir expor ou não seus dados, de modo a fazê-lo de forma consciente.
Para facilitar a explicitação do efeito do requisito, pensou-se em representar sua evidência
de forma que permitisse fácil comparação. Neste sentido, este trabalho propõe um conjunto de
métricas, de indicadores quantitativos, que representem requisitos, mesmo os centrados em dado
ou em serviço, dando o controle e consentimento da solução para o usuário.
Nas seções que seguem serão descritos os índices/métricas propostos para implementar
os requisitos Preferência do Usuário (Especificação de Preferências) (PCU/PCS), Degradação de
Dados (PCD), Sensibilidade de Dados (PCD) e Reputação (PCS).

5.3.1

Definições preliminares

Para compreensão dos conceitos que serão apresentados nas subsessões seguintes,
definem-se os seguintes:  

5.3.2

Atributo: Propriedade ou característica de um indivíduo representada de forma
quantitativa ou qualitativa, de acordo com a natureza do contexto em que é aplicável.
Ex.: nome, idade, local de nascimento, peso, etc.;
Identidade: Subconjunto de atributos de um indivíduo, correspondentes aos interesses de utilização em a algum contexto.

Cálculo de Exposição

O Índice de Exposição (IE), cujo cálculo será mostrado a seguir, representa um conceito
apresentado nos trabalhos de (Salehie et al., 2012; Sankar et al., 2013; Boyer et al., 2006;
Moncrieff et al., 2008; Oyomno et al., 2011), que estudam o impacto da sensibilidade de dados
e como isso reflete na perda de privacidade de um indivíduo. Aqui, utilizou-se como ponto de
partida uma identidade (conjunto de atributos necessários para provisão de um determinado
serviço, em um determinado Nível de Proposição de Valor (NPV)) e como unidade fundamental,
um atributo. Logo, a exposição é calculada para uma identidade, tendo como parâmetro os
atributos que a compõe.
A importância de tal métrica é determinada pela capacidade de mensurar o risco da
exposição dos dados de um indivíduo, quer seja pela sensibilidade dos atributos envolvidos, pela
precisão dos mesmo ou por ambos motivos, o que permite ter mair cautela antes de expô-los
e ser mais criterioso para com os provedores de serviço que requerem dados mais sensíveis,
levando em conta o NPV que oferecem. Além disso, como apontado em (Tene and Polonetsky,

5.3. CONVERGÊNCIA DE PARADIGMAS: UMA ABORDAGEM QUANTITATIVA

81

2012), esta métrica pode ajudar na fundamentação do consenso de exposição levando em conta
risco, propósito e potenciais consequências, tornando esses parâmetros mais palpáveis para os
usuários.
As subseções a seguir apresentam métricas auxiliares antes de, finalmente, apresentar o
cálculo do Índice de Exposição.
5.3.2.1

Índice de Proteção Individual

O primeiro passo rumo ao cálculo de exposição é a classificação de cada atributo quanto
ao seu Índice de Proteção Individual (IPI). Este índice serve para mensurar a importância
individual dada aos atributos, de modo que se inclua essa visão do usuário no cálculo de
exposição.
Assim sendo, os atributos podem ser categorizados da seguinte forma:   

Secretos: atributos cujo conteúdo é para uso exclusivo do indivíduo ao qual ele se
refere (IPI = 100);
Fechados: atributos cujo conteúdo é de uso exclusivo o indivíduo ao qual ele se
refere e às entidade explicitamente autorizadas a fazê-lo (IPI = 50);
Públicos: atributos cujo conteúdo pode ser livremente utilizado (IPI = 0).

Requisito representado: Preferência do usuário.
5.3.2.2

Cálculo de Precisão do Atributo

Uma vez determinado o IPI do atributo, deve-se estabelecer uma taxa de degradação (d)
para o mesmo. Assim como o mesmo conceito apresentado em (Van Heerde et al., 2006), a taxa
de degradação diz quão verdadeiro ou preciso é um dado atributo, sendo esta precisão calculada
em função do tempo - de coleta ou armazenamento - e da variação sofrida ao longo do tempo
considerado.
O valor da taxa de degradação (d) de um atributo pode variar entre 0% - no caso em que
nunca muda, representando um valor constante, e 100% - no caso em que muda a cada variação
de uma unidade na escala de tempo considerada.
Seguem alguns exemplos de atributos e suas taxas de degradação:  

Nome de um indivíduo: o nome de uma pessoas nunca muda, ao menos teoricamente, logo:
d = 0%
Idade de um indivíduo: a cada mês a idade perde sua precisão (100/12), logo;
d = 8.33%

5.3. CONVERGÊNCIA DE PARADIGMAS: UMA ABORDAGEM QUANTITATIVA

82

Para atributos cuja variação não seja em períodos regulares, uma aproximação deve ser
determinada de acordo com a percepção individual.
Uma vez disponibilizada a taxa d, o framework irá calcular, dado a data em que o
atributo foi gerado/coletado, quão preciso ele é em determinado tempo t. No tempo t0 o
atributo tem sua maior precisão (100%), no tempo t, a precisão de um atributo será dada por
p(d,t) = 100 − d ∗ (t − t0 ), ou ainda:
p(d,t) = 100 − d ∗ ∆t
Requisito representado: Degradação de Dados.
5.3.2.3

Índice de Exposição

O cálculo de exposição leva em consideração o IPI de cada atributo e sua respectiva
precisão.
Partindo da premissa de que dados mais precisos implicam em maior exposição e,
analogamente, dados menos precisos implicam em menor exposição, a ideia deste índice é
avaliar a exposição de acordo com a importância manifestada pelo usuário com relação ao
atributo e calcular esse impacto em uma identidade.
Dada uma identidade (conjunto de atributos), representada por um array de atributos, o
valor do Índice de Exposição (Ex) para esta identidade é dado por:
I = {a0 , a1 , . . . , an−1 }
∑n−1
i=0 p(di ,t) ∗ IPIi
102 ∗ n
A proposta da fórmula é somar a exposição individual de cada atributo e mapear este
valor, cujo mínimo e máximo seriam 0 e 102 ∗ n, respectivamente, para um intervalo entre 0
e 100, para facilitar a compreensão. Um índice de exposição 0 indica pouquíssima/nenhum
exposição; um índice de exposição 100, indica máxima exposição.
É importante lembrar que o t deve estar na mesma unidade para todos os atributos (i.e.
mês, dia, etc.), já que interfere no valor da taxa de degradação a ser usada.
Requisito representado: Sensibilidade de Dados.
Ex =

5.3.3

Cálculo de Similaridade

O cálculo de similaridade permite estabelecer uma reputação inicial para provedores
de serviço desconhecidos baseada em interações históricas com provedores de serviço conhecidos ou comparar níveis de exposição entre provedores que oferecem serviços com mesmas
características. Aqui, há de se levar em consideração o Índice de Exposição (IE) para cada NPV.
Dado que um provedor de serviço SPt , cuja similaridade será testada, calculam-se os
vetores ExV (SPt ) e ExV (SPx ) (ou vetores-exposição) dos m níveis de proposição de valor, para

5.3. CONVERGÊNCIA DE PARADIGMAS: UMA ABORDAGEM QUANTITATIVA

83

cada provedor de serviço conhecido SPx ao qual pode ser comparado, que compreende o IE para
cada NPV.
Já que cada NPV requer eventualmente um conjunto diferente de atributos, o IE dos
diferentes níveis podem também ser diferentes. Assim, tem-se o seguinte:
ExV (SPt ) = [NPV (t)1 , NPV (t)2 , .., NPV (t)m−1 , NPV (t)m ]
ExV (SPx ) = [NPV (x)1 , NPV (x)2 , .., NPV (x)m−1 , NPV (x)m ]
Onde: 

ExV (SPx ) é o vetor-exposição que representa SPx ; 

ExV (SPt ) é o vetor-exposição que representa SPt ; 

SL(x)i é o IE para SPx no NPV i.

Finalmente, tem-se:
s
dist(SPt , SPx ) =

m

∑ (NPV (t)i − NPV (x)i)2

i=1

Assim, quanto menor a distância, mais similar SPt é em relação a SPx :
sim(SPt , SPx ) = min(dist(SPt , SPx ))
A comparação entre NPV de diferentes serviços só faz sentido quando requerem o mesmo
conjunto de atributos e tem dados de saída similares. Dessa forma, o cálculo da similaridade
naturalmente inclui a abordagem contextual, onde somente os serviços de mesma natureza podem
ser avaliados e comparados entre si.
Requisito representado: Reputação.

5.4. RUMO À AVALIAÇÃO

5.4

84

Rumo à Avaliação

Uma vez mostrado como o Go!SIP deve funcionar, próximo passo é implementar os
requisitos acima, implementados na forma de métricas, e verificar se cumprem os propósitos
para os quais foram escolhidos.
Já que o foco do trabalho é o aspecto humano envolvido no problema de privacidade,
considerando que a maioria das propostas encontradas na literatura tem viés voltado para dados
e serviços e que parte do funcionamento do Go!SIP assemelha-se às abordagens estudadas - que,
inclusive, já foram validadas junto à comunidade científica - o aspecto remascente a ser avaliado
fica por conta da centralização no usuário.
Partindo de um conjunto de preferências de exposição de dados pessoais e de consumo
de serviços, pretende-se avaliar a resposta do usuário quanto à transparência na exposição apenas
dos dados necessários e adequados a cada contexto e na indicação do risco ao qual se submete
ao expô-los, suportado por controles disponibilizados para o usuário.
O propósito principal é identificar a preparação das pessoas para a iminente era de
utilização massiva de dados pessoais, com o intuito de otimização, maximização de personalização e proposição de valor, fornecendo meios para que manifestem suas preferências e tomem
decisões de exposição baseadas em informações principalmente quantitativas - representadas
pelos índices propostos - em direção a um cenário em que estejam aptas para igualar-se em
termos de informação quanto ao uso de dados pessoais, através do Go!SIP.
O capítulo a seguir apresenta o método escolhido para executa a avaliação, como foi
desenvolvido, como se deu o processo de experimentação e os resultados extraídos.

85

6
Avaliação do Framework
It is no use saying, ’We are doing our best.’
You have got to succeed in doing what is necessary.
—WINSTON CHURCHILL

A escolha do método de avaliação para o framework proposto foi uma das partes mais
desafiadoras deste trabalho. Primeiro, devido ao nível de subjetividade que o assunto privacidade
pode assumir do ponto de vista humano, faz com que um experimento convencional poderia
não trazer a carga contextual necessária para a compreensão do processo de decisão de expor ou
não as informações pessoais, quais os fatores favoráveis/desfavoráveis, motivos prováveis, etc.;
cogitou-se utilizar questionários, porém, identificou-se que não se poderia garantir a sinceridade
das respostas dos participantes, que poderiam direcionar suas intenções para respostas totalmente
favoráveis à exposição de dados pessoais, já que não poderiam sentir o impacto das consequências,
ou ainda fechar-se às possibilidades e necessidades de exposição de dados na vida real, feita
quase que diariamente em troca de algum benefício.
Em segundo lugar, uma avaliação teórica não permitiria identificar o impacto da proposta
na vida real, eliminaria o caráter prático do assunto.
Por último, como os trabalhos estudados não disponibilizam suas implementações, não
seria possível comparar as soluções propostas. Adicionalmente, mesmo que fosse possível
acessar a implementação, os contextos são diferentes, o que poderia prejudicar a análise das
comparações. Outra alternativa, seria comparar a proposta com mecanismos de privacidade de
ferramentas popularmente conhecidas, como redes sociais, ferramentas de email e e-commerces,
mas além da difereça de contexto, a proposição de valor dificultaria a criação de alguma métrica
de comparação e tornaria a avaliação extremamente subjetiva.
Depois de estudar as possibilidades, chegou-se a analisar a implementação de um Estudo
de Caso, que cobriu as necessidades de inclusão de contexto e de perspectivas individuais. Por
este motivo, este foi o método escolhido para avaliação da proposta.

6.1. UMA VISÃO GERAL SOBRE ESTUDOS DE CASO

6.1

86

Uma Visão Geral Sobre Estudos de Caso

A utilização de Estudos de Caso em pesquisas permite a exploração de um tópico
de interesse, dentro de seu próprio contexto, usando uma variedade de fontes de dados. As
discussões apresentadas em (Stake, 1995) e (Yin, 2014), descrevem esta técnica afirmando que a
verdade é relativa e, como tal, é dependende da perspectiva; logo, reconhece-se a importância do
indivíduo que cria e atribui significado, sem abrir mão da objetividade.
De acordo com (Baxter and Jack, 2008), uma das vantagens do Estudo de Caso é a
cooperação estreita entre o pesquisador e os participantes; enquanto cada participante pode
“contar sua história”, cada história descreve uma visão individual da realidade e permite ao
pesquisador melhor entender suas ações.
Kitchenham & Pickard (Kitchenham et al., 1995) afirmam que, mesmo que seja mais
fácil de planejar, que um experimento, um Estudo de Caso é mais difícil de interpretar e de
generalizar; pode-se mostrar os efeitos de um determinado cenário, mas não se pode generalizar
para qualquer cenário.
Em (Yin, 2014), Yin afirma que um Estudo de Caso deve ser considerado nas seguintes
situações: (a) O foco do estudo é responder questões do tipo “como” e “por que”; (b) Não
se pode manipular o comportamento dos participantes envolvidos no estudo; (c) É necessário
considerar as condições contextuais, vistas como relevantes para o fenômeno sendo estudado;
(d) Os limites entre fenômeno e contexto não são bem definidos.
Miles & Huberman (Miles and Huberman, 1994) auxiliam na definição do que pode ser
considerado a unidade básica de um Estudo de Caso, ou simplemente, o “caso”. Os autores
afirmam que alguns questionamentos sobre o que se quer analisar pode ajudar neste sentido;
portanto, assim como nas Revisões Sistemáticas, as Questões de Pesquisas ajudam a direcionar os
esforços da avaliação. Estas questões devem ser específicas e não podem comtemplar múltiplos
objetivos simultaneamente.
Uma vez definidas as perguntas, deve-se determinar como os dados serão coletados,
armazenados e disponibilizados para análise. Assim que concluída a análise, o Estudo deve
ser reportado de forma completa, permitindo que outros pesquisadores possam compreender o
método utilizado e os resultados.

6.2. ESCOPO DA AVALIAÇÃO

6.2

87

Escopo da Avaliação

Como o framework descrito é bem extenso e genérico, aliado ao tempo disponível para
o desenvolvimento da pesquisa, a escopo da avaliação será menor em relação à proposta do
trabalho.
Como a intenção é convergir o foco no indivíduo, a avaliação vai cobrir os índices
propostos, a saber: Índice de Proteção Individual e Índice de Exposição, já que eles fazem parte
do mecanismo que permite decisão informada por parte do usuário.

6.3. METODOLOGIA

6.3

88

Metodologia

O Estudo de Caso aqui apresentado segue, em linhas gerais, uma abordagem adaptada
da versão apresentada em (Baxter and Jack, 2008), devido à sua simplicidade de descrição e
compreensão.
O objetivo da avaliação aqui descrita é avaliar a percepção do usuário em relação à
proposta de gerenciamento de privacidade de dados pessoais, em modelo centrado no usuário,
visando verificar o engajamento dos usuários através de um controle auxiliado e verificar se
decisões informadas podem fazê-lo assumir ações mais responsáveis ao expor seus dados.
Como a ideia é avaliar os índices propostos de auxílio a decisão, a Questão de Pesquisa
definida para guiar o Estudo é a seguinte:
“As pessoas são mais propensas a expor dados quando apoiadas por parâmetros quantitativos ?”
O caso proposto para estudo foi dividido em diferentes cenários, como atendimento
médico, redes sociais, serviços públicos, pagamento, etc., para os quais foi listado um conjunto
de situações que poderiam abrigar, nos quais fossem disponibilizados serviços que dependessem
do uso de dados pessoais. Um indivíduo então seria submetido a um conjunto de cenários e suas
ações, em cada um deles, deveria ser registrada para análise.
Para que o conjunto de cenários e a transição entre eles fosse coerente, foi necessário
encontrar uma forma de descrevê-los, de modo que o usuário fosse conduzido imperceptivelmente
de um a outro, com a atenção minada pelo contexto, na qual a situação de exposição de dados
seria embutida, sem criar nenhum tipo de alerta para o que estava sendo feito realmente.
Com o auxílio de uma equipe composta por Engenheiros de Usabilidade e de Game
Designers, decidiu-se que o Estudo de Caso poderia ser conduzido no formato de uma história
interativa, na qual situações fossem propostas e decisões pudessem ser feitas, conduzindo o
participante pelo experimento. Como embasamento teórico, foi necessário estudar os princípios
de Storytelling e de Gamebooks, para compor a execução do caso. Estes assunto serão abordados
nas subseções 6.3.1 e 6.3.2 que se seguem.

6.3.1

Storytelling

De acordo com (Eisner, 2008), desde os tempos remotos “o ato de contar histórias
está enraizado no comportamento social dos grupos humanos”. Inicialmente usadas como
ferramenta para transmissão de conhecimento entre gerações, as histórias passaram a entreter,
educar, ensinar comportamentos, discutir valores ou satisfazer a curiosidade.
Esta técnica consiste na criação de uma história, constituída de um início e um fim,
intermediados por uma sequência de eventos estruturados de modo coeso, incluindo um ou
mais personagens, um ambiente na qual os evento se desenrolam e um (ou mais) acontecimento
principal que representa o clímax (ponto alto de tensão) da história.

6.3. METODOLOGIA

89

De acordo com Will Eisner (Eisner, 2005), o ritmo com que os eventos se sucedem, a
forma como o problema ou a situação clímax é resolvida, as causas que levam a ela, o efeito que
produzem e o ferramental cognitivo utilizado, são importantes para uma experiência satisfatória
na storytelling. Para isso, é essencial que o contexto proposto pela história seja conhecido o
suficiente pelo leitor a fim de que se produza empatia e o permita partilhar das experiências dos
personagens, sendo este o objetivo final da história.

6.3.2

Gamebooks

Um Gamebook é, em uma definição adequada ao propósito deste trabalho, um livro
tipicamente escrito na 2ª pessoa, no qual o leitor atua na história através de escolhas que afetam
o curso da narrativa (Gamebooks.org, 2002) e que oferecem uma história não contínua adequada
ao contexto de uma storytelling interativa.
Dos exemplos mais antigos que se têm registro, podem-se citar An Examination of the
Work of Herbert Quain (Borges, 1941), de Jorge Luis Borges, e a série Tutor Text (Crowder,
1958).
Em An Examination of the Work of Herbert Quain são apresentados vários trabalhos do
autor Herbert Quain, como o romance April March, constituído de treze capítulos, formando
nove histórias diferentes. Partindo-se do primeiro capítulo, as decisões escolhidas pelo leitor
podem levá-lo a um dos três próximos capítulos e, cada um destes, levam a um dos três capítulos
subsequentes (Kistler et al., 2011).
A série de livros educacionais Tutor Text, permitiam que os alunos pudessem aprender
sem a necessidade da presença de um professor. Questões de múltipla escolha direcionavam
para páginas diferentes de acordo com a resposta escolhida. No caso de uma resposta incorreta,
o aluno seria levado para uma página que explicava o porque aquela resposta estava errada;
quando a resposta estivesse certa, uma página com mais informações seria indicada, incluindo as
próximas questões.
Na forma como foi utilizada neste trabalho, a técnica foi empregada no formato de uma
história de enredo ramificado (Gamebooks.org, 2002), atribuindo ao leitor as escolhas para sua
continuidade, levando a um dos finais previstos.

6.3.3

Por Que Storytelling e Gamebook?

A princípio, pensou-se em testar a proposta deste trabalho através de um questionário,
no qual, os participantes seriam questionados sobre sua percepção da utilidade das funções
(consideradas para avaliação) do Go!SIP, sem ou após o uso, em determinada situação de
exposição de privacidade.
Apesar dos questionários serem vistos como uma forma rápida de obtenção de opinião,
serem objetivos, obtendo respostas em formato padronizado, caso seja aplicado posterior ao
experimento, alguns detalhes da experiência podem ser esquecidos. Além disso, se fosse

6.3. METODOLOGIA

90

necessário uma quantidade razoavelmente grande de perguntas, o interesse do usuário poderia
se perder ao longo do preenchimento, tornando-se um risco potencial à análise dos resultados.
Finalmente, os participantes poderiam deixar de revelar alguma informação, ou poderiam achar
que seriam penalizados caso fornecessem sua real opinião (Milne, 1999).
Como o uso de questionários trazia em si o risco de que, a forma como os usuários
atuariam nos cenários descritos poderia não ser próximo ao que fariam no mundo real, a função
de storytelling no contexto deste trabalho foi estratégica, visando minimizar este problema.
Era necessário expor as pessoas a cenários cotidianos, eventualmente futurísticos, no qual se
propusessem situações em que seriam impelidas a fornecer seus dados pessoais. Decidiu-se
utilizar uma história, em forma de narrativa, organizada como um gamebook e adicionando uma
camada de ludicidade à proposta, de modo que as pessoas se sentissem livres para expressar suas
decisões da forma mais sincera possível.
Agregando as duas técnicas, fez-se possível extrair as informações necessárias para o
processo de avaliação, através de um questionário-jogo, no formato de história, trabalhando a
experiência de forma intrinsecamente lúdica.

6.4. EXECUÇÃO DA AVALIAÇÃO

6.4

91

Execução da Avaliação

Após decidir que o Estudo de Caso seria materializado através de storytelling, organizado
como um gamebook, iniciaram-se as atividades rumo à execução da experiência, partindo da
concepção da história, definição do perfil esperado de participantes, ao desenvolvimento da
aplicação até sua disponibilização. Cada uma dessas etapas são exploradas das subseções que se
seguem.

6.4.1

A Criação da História

Para a criação da história, os mesmos pesquisadores envolvidos ao longo do desenvolvimento deste trabalho foram convidados a propor situações cotidianas isoladas, que poderiam se
passar em um contexto urbano, nas quais seria necessário expor algum dado pessoal.
Assim que a lista de situações foi criada, um enredo foi construído a fim de conectá-las.
Antes de partir para fase de implementação, um Game Designer foi convidado a validar a história,
destacando pontos que poderiam ser melhorados, de modo que se pudesse envolver ao máximo
o usuário e extrair dele as informações necessárias. Realizou-se vários ciclos de revisão nesta
etapa; cada revisão tinha como objetivo, além de avaliar a ludicidade da história e a adequação
aos interesses da pesquisa, certificar-se de que cada situação iria impactar em alguma ação
futura, criando a noção de causa-efeito. Além disso, os finais possíveis deveriam ter conteúdo
condizente com a trajetória selecionada, expostos de forma possivelmente cômica, para concluir
a experiência de participação que trouxesse à memoria o aspecto lúdico intencionado.
O grande desafio da etapa de criação da história foi, na verdade, desenvolver as ramificações da história nos pontos de decisão, nos quais as opções seriam apresentadas ao participante,
e conduzir cada uma das continuações de forma coerente, levando a um final interessante, que
retratasse as escolhas feitas.
Depois das inúmeras rodadas de revisão, a história foi finalmente concluída e pode ser
conferida no Apêndice B, organizada de acordo com os Passos, ou trechos, alcançados por meio
das escolhas feitas durante sua evolução.
Resumidamente, o participante acabou de chegar das Terras do Mar Prestos para o local
onde a história acontece: uma cidade fictícia, chamada Privus, localizada em um país chamado
Secreta. Logo que chega na cidade, o personagem passa por um breve questionário no guichê
de imigração, onde é apresentado um contexto geral sobre a cidade. A partir daí, várias opções
são apresentadas, entre passear pela cidade, pagar contas, usar ou não serviços de localização,
redes sociais, etc., ações comuns pensadas de forma que pudessem fazer sentido em uma Cidade
Inteligente.

6.4. EXECUÇÃO DA AVALIAÇÃO

6.4.2

92

Ferramentas

Para a criação do gamebook interativo foi desenvolvida uma aplicação Web, para facilitar
o acesso e a comodidade dos participantes, além da familiaridade com as tecnologias utilizadas.
A aplicação Web foi desenvolvida em Python, usando um framework chamado Django1 ,
em sua versão 1.6.1. Utilizou-se o Eclipse Kepler como Integrated development environment
(IDE). Para persistência, foi utilizado o PostgreSQL2 . A interface foi construída usando Bootstrap3 3.2, CSS, HTML e javascript.
Como dois desenvolvedores foram envolvidos, o código foi disponibilizado via repositório privado no BitBucket4 , usando o sistema de controle de versão open source Git5 .
Para disponibilizar a aplicação, utilizou-se a infraestrutura Amazon Web Services (AWS),
com uma instância gratuita da Amazon Elastic Compute Cloud (EC2).

6.4.3

Perfil de Participação

Para participação do Estudo de Caso, discutiu-se a possibilidade de incluir pessoas de
diferentes faixas etárias, com conhecimento básico de informática, o suficiente para informar
suas escolhas na história. Entretanto, ao longo do desenvolvimento, notou-se que seria necessário
um entendimento básico dos serviços que seriam fornecidos, simulados ou não, durante a história,
com familiaridade suficiente para entender e decidir sua utilização, já que se tentou assemelhar
ao máximo o nome e a proposta dos serviços do mundo real.
Com isso, entendeu-se que o melhor perfil para participar seriam pessoas envolvidas cotidianamente com o mundo de Tecnologia da Informação, habituados aos serviços representados e
discussões abordadas neste trabalho. Sendo assim, a aplicação foi disponibilizada apenas para os
estudantes de pós gradução do Centro de Informática da Universidade Federal de Pernambuco,
para os colaboradores do Centro de Estudos e Sistemas Avançados do Recife e para alguns alunos
do Departamento de Computação da Universidade Federal de São Carlos, campus Sorocaba.

6.4.4

Desenvolvimento

Cada etapa da história foi separada em páginas diferentes, que eram acessadas à medida
que as opções que representavam eram escolhidas.
O estágio que possui maior expressão da proposta do Go!SIP é o Passo 2c, no qual o
participante pode configurar o seu IPI. Durante a implementação, percebeu-se que ao invés
representar este índice da forma como foi originalmente descrito - com valores fixos 0 (secreto),
50 (fechado) e 100 (público) - seria mais flexível e de mais fácil entendimento se a faixa de
1 https://www.djangoproject.com/
2 http://www.postgresql.org/
3 http://getbootstrap.com/
4 https://bitbucket.org/
5 http://git-scm.com/

6.4. EXECUÇÃO DA AVALIAÇÃO

93

valores fosse contida em um intervado discreto. Decidiu-se que a melhor forma de traduzir a
semântica da métrica para o participante seria a seguinte: “De 1 a 100, o quanto seus dados
. . . importam para você?”. Para facilitar a compreensão deste valor, conforme o participante
deslizava um slider escolhido para este propósito, um tooltip era exibido com uma categorização
textual, conforme segue: 

[1, 20[: “Não me importo”; 

[20, 40[: “Quase não me importo”; 

[40, 60[: “Me importo pouco”; 

[60, 80[: “Me importo”; 

[80, 100[: “Me importo muito”.

A definição do IPI foi feita a nível de perfil, por questões de facilidade de configuração; o
valor padrão de IPI é 100, indicando importância máxima. Considera se como perfil, um conjunto
de atributos de um indivíduo, agrupados convenientemente para um determinado contexto. Na
implementação atual são considerados 6 perfis, pensados para explorar o máximo de aspectos
possíveis durante o estudo, como descrito abaixo:      

Dados Pessoais, inclui nome e email do indivíduo;
Dados Financeiros, inclui dados fictícios sobre a conta bancária do indivíduo e os
lançamentos em seu cartão de crédito;
Dados de Consumo, inclui o histórico fictício de consumo do indivíduo, como data,
local de compras, o que foi comprado e qual o valor;
Dados de Localização, inclui o histório fictício de localização do indivíduo, supostamente coletado em intervalos de tempo;
Dados Médicos, inclui data de nascimento e sexo do indivíduo, bem como seu
histórico fictício de sinais vitais, como taxa respiratória, temperatura corporal e
pressão;
Dados de Relacionamentos, inclui a lista de amigos do indivíduo.

A taxa de degradação (d) de dados dos atributos presentes no perfil foi definida de modo
fixo, não sendo exposta ao participante de forma alguma e foram estabelecidos, ora a nível de
atributos (mesmo que sob uma abstração, como conta bancária, por exemplo), ora a nível de
perfil. Os seguintes valores de taxas de degradação foram considerados: 

Nome e Email, d = 0, nível de atributo;

6.4. EXECUÇÃO DA AVALIAÇÃO 

Conta bancária, d = 3, 333, variação por dia, nível de atributo; 

Cartão de crédito, d = 0.139, variação por hora, nível de atributo; 

Localização, d = 0.139, variação por hora, nível de perfil; 

Relacionamento, d = 3, 333, variação por dia, nível de perfil; 

Dados médicos, d = 0, 555, variação por semestre, nível de perfil; 

Dados de consumo, d = 3, 333, variação por dia, nível de perfil;

94

O cálculo da precisão de cada um dos elementos descritos acima levou em consideração o tempo decorrido desde o momento que o usuário iniciou sua participação no estudo,
cadastrando/autenticando-se na aplicação. Deste modo, o dado vai se depreciando, ainda que
vagarosamente, durante a experiência do participante.
A cada escolha de exposição do participante, calcula-se o IE, baseado no valor atual do
IPI (já que o participante pode alterar esta informação a qualquer tempo) e da precisão. Para
efeitos de histórico, registra-se o IPI e o IE de cada perfil envolvido juntamente com o contexto
na qual se baseia a escolha, o provedor de serviço e o timestamp da transação. Além disso, para
cada passo da história é registrado qual foi a opção escolhida pelo participante.
Sempre que algum serviço é consumido o cálculo de exposição é executado, conforme
explicado, e exibido para o participante de forma visual, gráfica, textual e numericamente, como
mostra a Figura B.11. Para cada perfil é exibido uma barra horizontal que varia de tamanho de
acordo com o risco calculado, colorida, variando de verde - para exposição mínima - a vermelho
- para exposição máxima; junto à essa barra, também é mostrado o valor bruto de exposição
calculado e uma categorização como segue: 

[1, 20[: “Risco baixíssimo”; 

[20, 40[: “Risco baixo”; 

[40, 60[: “Risco médio”; 

[60, 80[: “Risco alto”; 

[80, 100[: “Risco altíssimo”.

Essas informações deveriam ser exibidas sempre que o usuário tivesse que fazer a
aquisição de um serviço, sendo bem destacadas na tela e referenciadas no texto de descrição.
Entretanto, como a ideia era verificar se métricas quantitativas faziam diferença na decisão de
exposição de dados, implementou-se um mecanismo que, na primeira vez que o participante
entrava na aplicação, era determinado se ele ia ou não ter acesso ao score e às métricas; a
forma como esta característica foi implementada garante que a diferença entre a quantidade

6.4. EXECUÇÃO DA AVALIAÇÃO

95

de participantes tendo acesso ou não às métricas seria de no máximo um (1), i.e., idealmente
seriam quantidades iguais. Para os participantes que não tinham acesso às metricas, nenhuma
referência literal à privacidade foi feita, nem mesmo era informado que este seria o assunto sendo
observado no Estudo, nem a barra horizontal, a categorização textual ou o valor de exposição era
exibido.
Para manter o foco nas métricas, não foram oferecidos múltiplos provedores de serviço,
tanto por questões de simplicidade de implementação, quanto para não interferir na percepção da
exposição dos dados; quanto maior a carga cognitiva necessária para participar do experimento,
menos efetivo ele seria e maior a dificuldade em convencer as pessoas a participar.
A utilização dos perfis de dados por parte dos serviços pode ser encontrada no Apêndice B.2. Além dos serviços, algumas situações específicas também utilizam o perfil Dados
Financeiros do participante; a saber, na parte da história que descreve a compra de um carro,
quando no pagamento da conta de energia e do pedido no Burger Queen.
Para registrar o impacto das ações de forma quantitativa durante o jogo, um score é
exibido no canto direito da tela, apresentando os seguintes indicadores: 

Dinheiro 

Risco 

Influência

O indicador Dinheiro é registrado com uma unidade monetária fictícia (P$), inicialmente
apresenta o valor 20.000, como um benefício do governo local para o imigrante, para que se
estabelecesse de modo confortável na cidade. Este valor é impactado sempre que o participante
paga algum serviço ou produto; o indicador Risco está fora do controle do participante e foi
estabelecido previamente, de forma empírica e hard coded, e é um valor para indicar o quanto
o usuário já se expôs ao longo da história, cujo valor incrementado depende da situação (este
índice não representa o Índice de Exposição); o terceiro indicador que compõe o score é a
Influência, que representa a reputação virtual do participante, e é incremementada sempre que
alguma interação social é realizada.
Nos serviços disponibilizados na aplicação, o impacto no score foi atribuído arbitrariamente, conforma mostra a Tabela 6.1:
Assim como os serviços, alguns passos da históra implicam na utilização de algumas
outras funcionalidades, como pagamento, execução de alguma tarefa, fazer um tour com os
amigos, também interferem no score, como mostra a Tabela 6.2.
Ao longo da história diversos formulários são apresentados. Porém, com exceção do
formulário apresentado no Passo 2c (também acessado através do menu Meus Dados), todos os
formulários são inertes, ou seja, nenhum deles salva ou registra os dados informados. A única
coisa que é registrada é que o participante manifestou a intenção de fazê-lo. Isso permitiu que
apenas os dados relevantes para a análise fossem persistidos.

6.4. EXECUÇÃO DA AVALIAÇÃO

96

Tabela 6.1: Impacto dos Serviços no score do participante
Serviço
Gugou Maps
Fakebook
Twistter
Check-In
Smart Meter
Health Monitor
Health Assist

Risco
+5
+10
+10
+5
+5
+5
+5

Dinheiro (P$)
2,00
0,00
0,00
0,00
2,00
8,00
0,00

Influência
0
+10
+10
+10
0
0
0

Tabela 6.2: Impacto dos Passos no score do participante
Serviço
Passo 4c
Passo 6c
Passo 6d
Passo 8b
Passo 9a
Passo 9b
Passo 9c
Passo 8b

Risco
0
+15
+10
0
5
0
5
0

Dinheiro (P$)
0.0
(76,5%)
(90%)
0
150,00
150,00
(Variável)
(Variável)

Influência
+5
+5
+5
-15
0
0
0
0

Situação
Participante escolhe fazer tour com seus amigos
Participante compra o carro e participa da pesquisa
Participante compra o carro sem participar da pesquisa
Participante se recusa a pagar a conta de energia
Participante paga a conta de energia com cartão
Participante paga a conta de energia com dinheiro
Participante paga a conta no Burger Queen com cartão
Participante paga a conta no Burger Queen com dinheiro

Finalmente, em nome da ludicidade, vários recursos foram utilizados para deixar algumas
experiências dentro da história mais interessante. Notificação de serviço são exibidas a medida o
usuário atinge um ponto específico de leitura e, em alguns casos, sons também foram utilizados;
na etapa da história em que ocorre um problema de saúde, além da notificação, a tela fica
embaçada aleatóriamente, dando um apelo visual à situação. Para implementação desses recursos
foram utilizados CSS3, HTML5 e javascript.
A Figura 6.1 apresenta uma das telas da aplicação desenvolvida, com destaque para os
serviço habilitados à esquerda e o score do participante à direita. Ao centro da tela, pode-se ver
um dos passos da subrotina de Navegação, na qual o participante deve escolher para onde quer
seguir rumo ao seu objetivo, destacado na parte superior do mapa.
A aplicação ficou disponível para utilização durante duas semanas e foi divulgada
verbalmente e através de emails para o público alvo. Durante este período, as dúvidas e
discussões que iam surgindo foram anotadas a fim de fomentar a discussão dos resultados do
trabalho.

6.4. EXECUÇÃO DA AVALIAÇÃO

Figura 6.1: Exemplo da tela do Go!SIP

97

6.5. RESULTADOS

6.5

98

Resultados

Durante o período em que a aplicação esteve disponível 41 pessoas participaram, sendo
que apenas 21 delas puderam visualizar seu score e tiveram acesso às métricas de exposição.
A Figura 6.2 apresenta um heat map6 simples dos fluxos escolhidos pelos participantes no
gamebook interativo usado para o Estudo de Caso, representando a frequência com que um
caminho foi escolhido e, em cada passo, a proporção de acesso ou não às métricas.
O número de participante ficou bem abaixo do esperado e, principalmente, a taxa de
conclusão da história; do total de participantes, 63.4% chegaram a algum dos 7 finais possíveis
da história - Passos 2b, 11b, 11c, 11d, 13c, 14a, 14b - sendo que desse percentual, 53.8%
finalizaram no Passo 2b (neste passo, o participante se recusava a fornecer algum dado para ser
autorizado a entrar na cidade); aproximadamente metade desses participantes tinham acesso às
métricas, porém, até esse ponto da história, elas não haviam sido introduzidas ou utilizadas. Este
passo é alcançado quando a pessoa se recusa a fornecer seus dados, via Facebook, LinkedIn ou
manualmente.
Buscando entender o motivo do baixo percentual de conclusão da história, verificou-se
os índices de desistência nos Passos, cujo resultado é mostrado na Tabela 6.3. Com exceção
dos passos iniciais - Abertura e Passo 0 - a tela de configuração de dados, com a métrica de
importância (ou IPI), foi a que apresentou maior desistência, seguida da tela de apresentação da
cidade; a provável causa de desistência nessas tela pode ser a densidade da informação contida.
As duas últimas posições, Passos 6a e 10b, são subrotinas de navegação, até a entrada da cidade
e até um local para pagamento de contas, respectivamente; dos 11 participantes que desistiram
nesta etapa, apenas 4 não tinha acesso ao mapa, deixando um questionamento em aberto sobre o
motivo da desistência.
Tabela 6.3: Desistência nos passos da história
Passo
Abertura
Passo 0
Passo 2c
Passo 3
Passo 6a
Passo 10b

]

Desistências
1
3
4
3
1
3

Observando o heat map observa-se que o único ponto de decisão que dividiu os participantes, deixando em um trecho um grupo uniforme que não podia ver as métricas, nem o score,
foi do Passo 8a para o 9a, onde o participante decide pagar sua conta de energia usando cartão.
Os participantes com acesso às métricas preferiram pagar a dinheiro, o que pode indicar que as
métricas os deixaram menos a vontade para usar o pagamento a cartão. Como este foi o único
6 Um

heat map é uma representação gráfica de valores de uma matriz, expressos através de cores. Fonte:
http://bit.ly/1niGb5L, acessado em 25/06/2014

6.5. RESULTADOS

99

ponto de uso do perfil de Dados Financeiros pelos dois grupos de participantes, nada mais pôde
ser inferido neste sentido.
Voltando a atenção para a Questão de Pesquisa, replicada abaixo, a exposição de dados
no Estudo de Caso deu-se através do uso dos serviços. A Tabela 6.4 mostra a distribuição dos
serviços adquiridos.
“As pessoas são mais propensas a expor dados quando apoiadas por parâmetros quantitativos ?”
Das 15 aquisições de serviço, 11 delas foram feitas por participantes que não tinha acesso
às metricas e apenas 4 vieram de participantes que não tinham informação alguma sobre risco de
exposição.
Tabela 6.4: Aquisição de serviços
Serviços
Gugou Maps
Smart Meter
Health Monitor
Health Assist

]

Aquisições
8
4
2
1

Perfil Utilizado
Dados de Localização
Dados de Consumo
Dados Médicos
Dados Médicos

Sobre as pessoas que usaram a tela de configuração para ajustar os IPIs de seus perfis,
também se fizeram algumas verificações. Dos 41 participantes, 17 fizeram ajustes em seus perfis,
demonstrando interesse em customizar a sua importância para cada um dos grupos de dados:  

9 participantes tinham acesso às métricas, desses, apenas 4 realmente adquiriram algum serviço, uma taxa de conversão de 44%, justificando o propósito da configuração
feita;
8 participantes não tinham acesso às métricas, apenas 4 adquiriram algum serviço,
com taxa de conversão de 50%;

A análise nos valores de IPIs mostra a ordem de importância que os participantes
atribuíram aos seus perfis. Nas Figuras 6.4 e 6.3 são apresentadas as médias de IPI para os
participantes sem acesso e com acesso às métricas, respectivamente. Deve-se lembrar que os
valores podem variar entre 1 e 100.
Como se vê, todos os participantes que configuraram seus perfis aplicaram maior importância em seus Dados Financeiros, com o valor médio na faixa de valores “Me importo muito”.
Curiosamente, os valores médios de importância dado ao perfil de localização foi muito próximo,
independente da presença das métricas. Os Dados Pessoais, de Relacionamento e Médicos foram
considerados mais importantes pelas pessoas que não possuíam acesso às métricas em relação às
que não tinham acesso a informação quantitativa alguma, ao contrário do que ocorreu com o
perfil Dados de Consumo.

6.5. RESULTADOS

100

Observando a distribuição de IPIs pode-se inferir que, quando os dados possuem uma
importância alta para o indivíduo, como é o caso dos Dados Financeiros e de Localização, a
presença de um indicador quantitativo de exposição contribuiu pouco para a decisão de autorizar
ou não o acesso aos dados. Quando o contexto de uso era recorrente em relação à algumas
situações reais, como é o caso dos Dados Pessoais e de Dados Médicos, notou-se a maior
divergência - média de 7.5% a menos - entre a importância dada por pessoas que possuiam ou
não acesso às métricas.
Devido ao grau de intimidade que representam e baseado em pesquisas reais estudadas
durante o desenvolvimento deste trabalho, esperava-se que os Dados Médicos apresentassem
importância de magnitude similar aos Dados Financeiros.
Em (eur, 2011), onde se apresenta - de acordo com os autores - “o maior survey já
conduzido, considerando o comportamento dos cidadãos e suas atitudes concernentes ao gerenciamento de identidade, proteção de dados e privacidade”, a ordem de importância estabelecida
pelos entrevistados era: Dados Financeiros > Dados Médicos > Dados Pessoais. Similarmente,
em uma pesquisa realizada pelo International Institute of Communications (of Communications,
2012) em vários países ao redor do mundo, as preocupações com Dados Financeiros, seguido de
Dados Médicos e Pessoais eram as mais recorrentes.
A forma como os serviços foram descritos no Estudo e inclusos na história pode ter
impactado nestas observações, já que a importância depende da necessidade/utilidade do serviço
e do contexto como um todo, além das situações serem fictícias; ao mesmo tempo que poupa o
participante do sentimento de culpa, ou de “fazer algo errado”, também tira a responsabilidade
de agir como faria na vida real, mesmo que tenha agido de forma sincera.
O único serviço que os participantes com acesso às métricas utilizaram foi o Gugou
Maps, expondo seu perfil Dados de Localização, com um IE médio de 90, numa faixa de 0 a 100,
considerado um índice de risco altíssimo. Já os participantes sem acesso às métricas utilizaram
os seguintes serviços, com os IEs médios distribuídos conforme mostra a Tabela 6.5.
Tabela 6.5: IE médio por perfil, para participantes sem acesso às métricas
Perfil
Dados Financeiros
Dados de Localização
Dados Pessoais

IE Médio
100,00
91,66
91,00

A diferença entre os serviços utilizados e os respectivos IEs sugerem que a métrica
baseada na importância que o participante deu aos seus perfis, ou o inibiram de utilizar o
serviço, ou o trade-off entre expor o perfil com o IE calculado e a utilidade/necessidade estava
desequilibrado, permitindo o decidir não utilizar o serviço mas, quando o fez, é por que se
imaginou alguma utilidade que justificava o risco.
Ao mesmo tempo em que se puderam coletar os dados mencionados até aqui, percebeu-se
que não foram visitados todos os caminhos possíveis propostos na história (ver heat map), o que

6.5. RESULTADOS

101

de certa forma comprometeu a análise pela quantidade insatisfatória de participantes. Além disso,
os serviços Fakebook e Twistter não foram utilizados por nenhum participante, principalmente
por que os cenários em que eles seriam úteis não foram explorados.
Pela taxa de desistência, imagina-se que a participação se deu principalmente pela
curiosidade, pela vontade de se saber do que se trata e, considerando o número de pessoas
que encerraram no Passo 2b, materializou a postura defensiva que costumamos assumir em
contextos desconhecidos, o que implica em se repensar o fluxo de decisões em um próximo
experimento/estudo, ou mesmo considerar e desenvolver a possibilidade de mudança de opção
ou a recusa de exposição, buscando entender um pouco melhor este grupo de participantes.
Apesar dos dados apresentados indicarem que o uso de métodos qualitativos para identificação do risco de exposição, dentro da aplicação usada no Estudo de Caso, foi efetivo, a
quantidade de pessoas que participaram foi insatisfatória, o que sugere a necessidade de uma nova
rodada do Estudo de Caso, ampliando a quantidade de cenários, envolvendo os demais conceitos
propostos, como múltiplos provedores de serviço, níveis de proposição de valor, mecanismo de
controle e conveniência, etc., e aplicando o experimento de forma controlada para um número
representativo de pessoas, por um tempo suficiente para evitar a interferência da curiosidade dos
participantes.
Outra percepção é a necessidade de se trabalhar a confiabilidade de uso da métrica de
exposição, envolvendo a experiência de manutenção da relação com o provedor de serviços
e quais as consequências em caso de descontinuidade do uso do serviço. Adicionalmente, a
princípio imaginou-se que o uso de serviços e contexto já conhecidos iria suprir a explicitação de
valor agregado nas situações propostas, porém, baseado na observação dos resultados notou-se
a ausência de uma medida explícita de utilidade no Estudo de Caso, reforçando a necessidade
da inserção do conceito de nível de proposição de valor em experimentos/estudos futuros, na
continuidade deste trabalho.
Paralelamente, algo que dificultou a análise dos dados coletados foi a ausência do
timestamp do momento de escolha do participante, ao ir de um passo a outro, que permitiria
analisar se houve a intenção de ajustar a importância de um perfil de dados antes de se adquirir
um serviço, com o intuito de se diminuir o risco. Ainda neste sentido, acredita-se que a noção de
risco de exposição não tenha ficado bem clara, apesar de ter sido trabalhada cuidadosamente e
apresentada de várias formas visuais e textual.
Contudo, não se pode ignorar que os resultados permitem vislumbrar o potencial da
proposta, que precisa de um Estudo de Caso ou experimento mais complexo e elaborado, para
uma visualização mais massiva de sua utilidade que permita ajustar alguns detalhes a fim
de desenvolver e evoluir uma versão real e completa do framework. Porém, considerando
estritamente o Estudo realizado, a resposta da questão guia da pesquisa é que, quando apoiadas
por parâmetros quantitativos, as pessoas são menos propensas a expor os seus dados.

6.5. RESULTADOS

Figura 6.2: Heat map da história utilizada no Estudo de Caso

102

6.5. RESULTADOS

Figura 6.3: IPI Médio por perfil, para participantes com acesso às métricas

Figura 6.4: IPI Médio por perfil, para participantes sem acesso às métricas

103

6.6. AMEAÇAS À AVALIAÇÃO

6.6

104

Ameaças à avaliação

Esta seção tem por objetivo listar/reforçar alguns pontos que podem ter impactado o
processo de validação:       

O perfil de participantes escolhidos para fazer parte do experimento - mais envolvidos
na área de TICs e habituados ao serviços representados - pode ter influenciado nos
resultados, sendo suas decisões tomadas baseada em seu conhecimento no mundo
real e não no contexto apresentado na história;
Apesar do aspecto lúdico e do isolamento da realidade, o participante pode ter
se sentido sem a responsabilidade ou necessidade de assumir riscos (que seriam
necessários na vida real);
A forma como as informações foram indicadas, especificamente o score, foi apontada
como confusa por alguns participantes, incluindo a proposta de risco e exposição;
Descobriu-se durante o período de execução do estudo que alguns participantes não
conseguiram sair da subrotina de navegação devido a dificuldade. Pensou-se neste
grau de dificuldade como um motivo para o participante munir se de recursos (o
serviço Fakebook por exemplo, que poderia ajudar neste caso), o que não ocorreu;
O índice de desistência foi parcialmente decorrente da curiosidade de algumas pessoas
que queria ver do que se tratava o gamebook interativo e não concluíram a história.
A densidade de informação em algumas partes da história também contribuiu;
A quantidade de participantes foi considerada insatisfatória, pois acredita-se que,
se houvesse uma massa maior de dados, as vantagens/desvantagens e utilidade das
métricas ficariam mais evidentes;
O fato de nem todos os caminhos da história terem sido visitados acarretou na não
[necessidade de] utilização de alguns serviços.

Finalizada a apresentação da avaliação da proposta, o capítulo a seguir vai elucidar as
conclusões habilitadas por este trabalho e apontar as direções futuras para o framework proposto.

105

7
Conclusão
I have fought the good fight,
I have finished the race,
I have kept the faith.
—2 TIMOTHY 4:7 (Holy Bible, New International Version)

No decorrer deste trabalho estudou-se a problemática decorrente da crescente população
urbana, as consequências negativas decorrentes e como uso de TICs pode colaborar na busca de
uma solução efetiva, criando uma Cidade Inteligente.
Neste sentido, reconheceu-se a necessidade do envolvimento das pessoas na solução,
usando-as como sensores vivos através de seus dispositivos móveis, a fim de se obter uma visão
contextualizada da cidade, através de dados fornecidos em tempo real, permitindo se ter mais
informações nas situações em que é necessário alguma intervenção para benefício dos cidadãos.
Como resultado deste envolvimento, parte dos dados trafegados tratam-se de informações sensíveis, de teor pessoal, que são expostos de maneira irresponsável comprometendo a privacidade
dos indivíduos.
Após determinar o problema, buscou-se certificar de que as soluções de Cidades Inteligente propostas até o momento, tanto na academia quanto na indústria, não cobriam satisfatoriamente o assunto privacidade. Depois disso, fez-se uma revisão sobre propostas de privacidade em
um conjunto de contextos inteligentes encontrados na literatura, a fim de se agrupar os requisitos
que esses trabalhos julgavam como importantes, com o propósito de se propor um framework de
privacidade para Cidades Inteligentes.
Paralelamente, se propõe uma discussão do aspecto longo prazo de privacidade, envolvendo tecnologias e mecanismos legais, que reforçam a necessidade de uma solução adequada.
Convergindo os assuntos de CI, privacidade, requisitos e pessoas, propõe-se uma classificação baseada em paradigmas centrados no usuário, em dados e em serviços, argumentando a
importância de focar a solução de gerenciamento de dados pessoais no indivíduo.

106
Finalmente se apresenta o Go!SIP, descrevendo os requisitos que compreende, e, rumo à
finalização, estreita-se o escopo de avaliação para os índices propostos no framework que podem
auxiliar os indivíduos na decisão de expor ou não seus dados. Descreve-se então o Estudo de
Caso utilizado para avaliar a proposta, através de um gamebook interativo, utilizando a técnica
de storytelling, e os resultados obtidos de sua aplicação.
Uma vez apresentado o Go!SIP, seguem algumas conclusões, considerações e direcionamento futuro para o trabalho.

7.1. PRINCIPAIS CONCLUSÕES

7.1

107

Principais Conclusões

Esta seção tem como objetivo enumerar as principais conclusões deste trabalho, que são
as seguintes:    

Os mecanismos encontrados na literatura focam-se em prover privacidade a nível de
serviço (PCS) ou a nível de dados (PCD), sendo o primeiro predominante na maioria
dos domínios estudados;
Não é possível construir uma proposta de implementação de privacidade que atenda
estritamente apenas um paradigma, já que cada um deles tem a função de cobrir uma
parte específica no processo de provisão/consumo de serviços;
A utilização das técnicas de storytelling e gamebook mostraram-se adequadas ao
tema da proposta, tendo uma boa recepção por parte dos participantes, apesar da taxa
de desistência decorrente de algumas etapas do enredo utilizado;
Dentro dos cenários apresentados no experimento de validação do framework, as
métricas quantitativas demonstraram ter impacto na decisão de exposição de dados
pessoais.

7.2. TRABALHOS RELACIONADOS

7.2

108

Trabalhos Relacionados

Dentre os trabalhos estudados, algumas propostas de índices quantitativos de privacidade
foram implementadas, adequados a cada contexto específico, que podem ser citados.
Em (Sankar et al., 2013) é proposto um mecanimo de quantificação do trade-off entre a
utilidade e quantidade (utilidade-privacidade) do dado exposto. O modelo é aplicado à medição
de consumo de energia elétrica de eletrodomésticos.
O cálculo da relação utilidade-privacidade inicia-se com a leitura do consumo de energia
dos equipamentos domésticos, que serve de entrada para uma função de transferência que
obscurece os dados de consumo medido para um conjunto de valores de saída. Um modelo de
inferência é construído paralelamente para gerar correlações de hábitos de consumo, a partir dos
dados mensurados. O cálculo de privacidade é obtido através de um conceito proposto dentro
de Teoria da Informação, chamado Informação Mútua, mensurando o quanto se pode conseguir
de informação sobre os dados de consumo coletados a partir dos dados gerados por inferência.
O cálculo de utilidade é feito através de uma Função Abstrata de Utilidade, que categoriza os
dados de consumo obscurecidos de acordo com sua probabilidade de ocorrência em relação aos
dados inferidos, utilizando a distância Euclidiana.
O modelo de sensibilidade proposto está altamente acoplado ao contexto de Smart Grids.
Se portado para o ambiente de Cidades Inteligentes, esta poderia ser uma solução de privacidade
auxiliar muito interessante para ser aplicada, porém, não seria efetiva quando considerada a
exposição de dados que, apesar de ter seus valores alterados temporalmente (devido ao método
impreciso de medição, ou mesmo alteração decorrente da depreciação do dado), não caracterizam
padrões ou hábitos de consumo.
Em (Boyer et al., 2006), na qual se propõe um framework de privacidade para dados
de localização in-place, os usuário podem, além de especificar quem pode ter acesso a seus
dados de localização, limitar a precisão com que essa informação é divulgada, diminuindo a
sensibilidade do dado exposta e, consequentemente, diminuido o grau de exposição.
Em (Moncrieff et al., 2008) a sensibilidade do dado determina o nível de privacidade a
ser aplicado. Para definir quão privado tal dado precisa ser, utiliza-se uma abordagem baseada
em regras predefinidas, cuja saída é enviada para um filtro de dados, responsável por refletir
o grau de privacidade calculado, usando técnicas de ocultação ou obscurecimento. Como os
próprios autores afirmam, o framework proposto possui limitações com relação à escalabilidade
de contexto na gestão de múltiplas situações, com características dinâmicas, exatamente o tipo
de cenário esperado para um ambiente urbano.
Oyomno et al. (Oyomno et al., 2011), que trata de privacidade em serviços personalizados
providos dentro de espaços inteligentes, estabelece o nível de privacidade baseado em uma
classificação predeterminado de que tipo de informação pessoal será exposto e como o serviço irá
manipular tal informação, conforme especificado em sua política. O indivíduo deve definir suas
próprias políticas de exposição de suas informações, porém, como a classificação é determinada

7.2. TRABALHOS RELACIONADOS

109

por uma autoridade competente, pode estar desalinhada com a expectativa do indivíduo; além
disso, o que se entende do trabalho é que o uso do serviço está condicionado à definição de uma
política aplicável, o que pode engessar o usufruto de serviços em espaços inteligentes.
O trabalhos reportado em (Salehie et al., 2012) apenas menciona que usa algum tipo de
cálculo de sensibilidade, invasão ou exposição de dados, mas não descreve sua implementação.
Ao observar estas propostas, vê-se que as soluções são extremamente focadas no domínio
em que foram propostas. A ideia de índices quantitativos utilizada neste trabalho é uma composição de partes de soluções para diversos contextos inteligentes, o que permite que seja mais
facilmente adequada a outros contextos, mesmo que em carater parcial ou auxiliar, englobando
informações de teor pessoal tratadas isoladamente em cada uma dessas propostas.

7.3. TRABALHOS FUTUROS

7.3

110

Trabalhos Futuros
Consideram-se como trabalhos como trabalhos futuros da proposta aqui apresentada:     

Inclusão do Go!SIP na arquitetura de CI baseada em Internet da Coisas, proposta no
projeto de Mestrado entitulado “Uma arquitetura para Cidades Inteligentes baseada
na Internet das Coisas”, do MSc. Gustavo Henrique Rodrigues Pinto Tomas;
Construção de um mecanismo de conveniência e controle, usando uma abordagem
cognitiva, que possa ajustar os níveis de privacidade de forma autônoma, baseada nas
ações históricas do usuário;
Construção e validação de uma arquitetura para provisão de privacidade que satisfaça
os requisitos do framework apresentado neste trabalho;
Evolução dos Índices apresentados para levarem em conta, além do tempo, o contexto
(como local, tipo do atributo, etc.) no qual determinado atributo é empregado;
Desenvolvimento de um modelo de maturidade de privacidade para CIs, baseado na
implementação progressiva dos requisitos propostos no Go!SIP.

7.4. CONSIDERAÇÕES FINAIS

7.4

111

Considerações Finais

A utilização de pessoas como sensores na criação das tão faladas Cidades Inteligentes
apresenta-se como uma abordagem vantajosa, tanto do ponto de vista social e econômico, quanto
do ponto de vista tecnológico. Entretanto, esse envolvimento levanta uma série de preocupações
em relação à manutenção da privacidade e traz a tona uma preocupação que parecia tácita (ou
inexistente) até o presente momento, sobre o efeito longo prazo de manutenção de privacidade.
A necessidade de novas formas de manutenção de dados pessoais é iminente, nas quais
as pessoas sejam engajadas e não fiquem à mercê de jargões ou conceitos tecnológicos, em
plena concordância com mecanismos legais cabíveis, estimulando provedores de serviços a
trabalharem seus modelos de negócios de forma a priorizar a transparência e o equilíbrio de
interesses com seus consumidores.
Com esta finalidade, o trabalho descrito nesta dissertação apresentou o Go!SIP, um
framework para manutenção de dados pessoais, voltado para criação de um meio adequado de
provisão de privacidade dentro do contexto de CI, no qual as pessoas - os cidadãos - sintam-se
engajadas, no controle, providos de informação suficiente para tomar decisões conscientes de
exposição de seus dados, em qualquer extensão e, mais que isso, assumam sua posição de agentes
de mudança no processo de smartening de sua cidade.

112

Referências
(2011). Attitudes on Data Protection and Electronic Identity in the European Union.
Afonso, R. A., da Silva, W. M., Tomas, G. H., Gama, K., Oliveira, A., Alvaro, A., and Garcia,
V. C. (2013). Br-SCMM: Modelo Brasileiro de Maturidade para Cidades Inteligentes.
Anais do IX Simpósio Brasileiro de Sistemas de Informação (SBSI), Trilha Especial - SI e os
Desafios do Mundo Aberto.
Al-Hader, M., Rodzi, A., Sharif, A., and Ahmad, N. (2009). Smart City Components
Architecture. In Computational Intelligence, Modelling and Simulation, pages 93–97.
Andreini, F., Crisciani, F., Cicconetti, C., and Mambrini, R. (2011). A scalable architecture for
geo-localized service access in smart cities. In Future Network & Mobile Summit
(FutureNetw), 2011, pages 1–8. IEEE.
Anthopoulos, L. and Fitsilis, P. (2010). From digital to ubiquitous cities: Defining a
common architecture for urban development. In Intelligent Environments (IE), 2010 Sixth
International Conference on, pages 301–306. IEEE.
Asimakopoulou, E. and Bessis, N. (2011). Buildings and crowds: Forming smart cities for
more effective disaster management. In Innovative Mobile and Internet Services in
Ubiquitous Computing (IMIS), 2011 Fifth International Conference on, pages 229–234. IEEE.
Assembly, U. G. (1948). Universal declaration of human rights. Retrieved February, 22,
2010.
Attwood, A., Merabti, M., Fergus, P., and Abuelmaatti, O. (2011). SCCIR: Smart Cities
Critical Infrastructure Response Framework. In Developments in E-systems Engineering
(DeSE), 2011, pages 460–464. IEEE.
Atzori, L., Iera, A., and Morabito, G. (’2010’). The Internet of Things: A survey. Comput.
Netw., 54(15), 2787–2805.
Bagües, S. A., Zeidler, A., Valdivielso, C. F., and Matias, I. R. (2007). Sentry@
home-leveraging the smart home for privacy in pervasive computing. International
Journal of Smart Home, 1(2), 129–146.
Balakrishna, C. (2012). Enabling Technologies for Smart City Services and Applications.
In Next Generation Mobile Applications, Services and Technologies (NGMAST), 2012 6th
International Conference on, pages 223–227. IEEE.
Banisar, D. and Davies, S. (1999). Privacy and human rights: an international survey of
privacy laws and practice. Global Internet Liberty Campaign.
Bauer, A., Emter, T., Vagts, H., and Beyerer, J. (2009). Object oriented world model for
surveillance systems. In Future Security: 4th Security Research Conference, pages 339–345.
Fraunhofer Verlag.
Baxter, P. and Jack, S. (2008). Qualitative case study methodology: Study design and
implementation for novice researchers. The qualitative report, 13(4), 544–559.

REFERÊNCIAS

113

Bird, S. J. (2013). Security and Privacy: Why Privacy Matters. Science and engineering
ethics, pages 1–3.
Blackstock, M., Kaviani, N., Lea, R., and Friday, A. (2010). MAGIC Broker 2: An open and
extensible platform for the Internet of Things. In Internet of Things (IOT), 2010, pages 1–8.
Bohli, J.-M., Sorge, C., and Ugus, O. (2010). A privacy model for smart metering. In
Communications Workshops (ICC), 2010 IEEE International Conference on, pages 1–5. IEEE.
Borges, J. L. (1941). An Examination of the Work of Herbert Quain. Ficciones, pages
73–78.
Bowerman, B., Braverman, J., Taylor, J., Todosow, H., and von Wimmersperg, U. (2000). The
vision of a smart city. In 2nd International Life Extension Technology Workshop, Paris.
Boyer, J. P., Tan, K., and Gunter, C. A. (2006). Privacy sensitive location information
systems in smart buildings. In Security in Pervasive Computing, pages 149–164. Springer.
Bünnig, C. (2009). Smart privacy management in ubiquitous computing environments. In
Human Interface and the Management of Information. Information and Interaction, pages
131–139. Springer.
Busnel, P., El-Khoury, P., Giroux, S., and Li, K. (2008). Achieving socio-technical
confidentiality using security pattern in smart homes. In Future Generation Communication
and Networking, 2008. FGCN’08. Second International Conference on, volume 2, pages
447–452. IEEE.
Campbell, A. T., Eisenman, S. B., Lane, N. D., Miluzzo, E., and Peterson, R. A. (2006).
People-centric urban sensing. In Proceedings of the 2nd annual international workshop on
Wireless internet, page 18. ACM.
Chaum, D. L. (1981). Untraceable electronic mail, return addresses, and digital
pseudonyms. Communications of the ACM, 24(2), 84–90.
Chen, L., Ali Babar, M., and Ali, N. (2009). Variability management in software product
lines: a systematic review. In Proceedings of the 13th International Software Product Line
Conference, pages 81–90. Carnegie Mellon University.
Cheung, J. C. L., Chim, T. W., Yiu, S.-M., Hui, L. C., and Li, V. O. (2011). Credential-based
privacy-preserving power request scheme for smart grid network. In Global
Telecommunications Conference (GLOBECOM 2011), 2011 IEEE, pages 1–5. IEEE.
Chillon, P. S. (2012). If (Urban) Life is a game, (Smart) Cities are the Playgrounds.
Gamification, civic rewards and crowd sourcing strategies for connected and savvy cities.
http://urban360.me/. "[Online] Available: 24-August-2012".
Chim, T., Yiu, S., Hui, L. C., and Li, V. O. (2011). PASS: Privacy-preserving authentication
scheme for smart grid network. In Smart Grid Communications (SmartGridComm), 2011
IEEE International Conference on, pages 196–201. IEEE.
Cho, Y., Cho, S., Choi, D., Jin, S., Chung, K., and Park, C. (2004). A location privacy
protection mechanism for smart space. In Information Security Applications, volume 2908,
pages 162–173. Springer.

REFERÊNCIAS

114

Chui, M., Brown, B., Bughin, J., Dobbs, R., Roxburgh, C., and Manyika, A. H. B. J. (2011). Big
Data: The next frontier for innovation, competition, and productivity. Technical report,
McKinsey Global Institute.
Commission, F. T. et al. (2007). Fair information practice principles. "[Online] Available:
01-Maio-2014".
Computer Security Division, I. T. L. N. (2013). Security and Privacy Controls for Federal
Information Systems and Organizations. NIST Special Publication 800-53, Revision 4.
Crowder, N. A. (1958). Arithmetic of Computers. An Introduction to Binary and Octal
Mathematics. A Tutor Text, 1958, pp. i-iv and 1-18.
da República Casa Civil Subchefia para Assuntos Jurídicos, P. (1984). Lei nº 7.232, de 29 de
Outubro de 1984. Brasil.
da República Casa Civil Subchefia para Assuntos Jurídicos, P. (1997). LEI Nº 9.472, DE 16
DE JULHO DE 1997. Brasil.
da Silva, W. M., Alvaro, A., Tomas, G. H., Afonso, R. A., Dias, K. L., and Garcia, V. C. (2013).
Smart cities software architectures: a survey. In Proceedings of the 28th Annual ACM
Symposium on Applied Computing, pages 1722–1727. ACM.
Derudder, B. (2011). International handbook of globalization and world cities. Edward Elgar
Publishing.
Diallo, A. (2013). Google Remembers Where You Were. http://glo.bo/1kt0RFA.
"[Online] Available: 30-March-2014".
Dirks, S. and Keeling, M. (2009). A vision of smarter cities: How cities can lead the way
into a prosperous and sustainable future. IBM Institute for Business Value. June.
Efthymiou, C. and Kalogridis, G. (2010). Smart grid privacy via anonymization of smart
metering data. In Smart Grid Communications (SmartGridComm), 2010 First IEEE
International Conference on, pages 238–243. IEEE.
Eisner, W. (2005). Narrativas Gráficas. Prazeres, Mauro M. dos, 1ª edition.
Eisner, W. (2008). Narrativas gráficas: princípios e práticas da lenda dos quadrinhos. Devir.
European Comission, D.-G. f. J. (2012). How does the data protection reform strengthen
citizens’ rights? "[Online] Available: 01-Maio-2014".
Filipponi, L., Vitaletti, A., Landi, G., Memeo, V., Laura, G., and Pucci, P. (2010). Smart city:
An event driven architecture for monitoring public spaces with heterogeneous sensors. In
Sensor Technologies and Applications (SENSORCOMM), 2010 Fourth International Conference
on, pages 281–286. IEEE.
Fischetti, M. (2011). The Smartest Cities Will Use People as Their Sensors.
http://bit.ly/PabVWb. "[Online] Available: 16-August-2012".
Forum, W. E. (2013). Unlocking the Value of Personal Data: From Collection to Usage.
Technical report, World Economic Forum, in collaboration with The Boston Consulting Group,
Geneva.

REFERÊNCIAS

115

FutureSight (2012). GSMA Research into mobile users’ privacy attitudes: Key findings
from Brazil. http://bit.ly/1frUVGm. "[Online] Available: 23-April-2014".
Gamebooks.org (2002). Frequently Asked Questions. "[Online] Available: 18-Maio-2014".
Ganti, R. K., Ye, F., and Lei, H. (2011). Mobile crowdsensing: current state and future
challenges. Communications Magazine, IEEE, 49(11), 32–39.
Gehl, J. (2010). Cities for people. Island Press.
Gil-Castineira, F., Costa-Montenegro, E., Gonzalez-Castano, F. J., López-Bravo, C., Ojala, T.,
and Bose, R. (2011). Experiences inside the ubiquitous oulu smart city. Computer, 44(6),
48–55.
Gong, S. and Li, H. (2011). Anybody home? Keeping user presence privacy for advanced
metering in future smart grid. In GLOBECOM Workshops (GC Wkshps), 2011 IEEE, pages
1211–1215. IEEE.
Greenfield, A. (2013). Against the Smart City. Parte do livro The City is Here for You to Use
It.
Guennoun, M. and El-Khatib, K. (2009). Securing medical data in smart homes. In Medical
Measurements and Applications, 2009. MeMeA 2009. IEEE International Workshop on, pages
104–107. IEEE.
Hall, N. (2012). Are There Really More Mobile Phones Than Toothbrushes?
http://bit.ly/RInZMi. "[Online] Available: 1-August-2012".
Haubensak, O. (2011). Smart Cities and Internet of Things. Business Aspects of the Internet
of Things, page 33.
Heinroth, T. and Minker, W., editors (2011). Next Generation Intelligent Environments:
Ambient Adaptive Systems. Springer, Boston (USA).
Hermann, F., Blach, R., Janssen, D., Klein, T., Schuller, A., and Spath, D. (2009). Challenges
for user centered smart environments. In Human-Computer Interaction. Ambient, Ubiquitous
and Intelligent Interaction, pages 407–415. Springer.
Hernández-Muñoz, J. M., Vercher, J. B., Muñoz, L., Galache, J. A., Presser, M., Gómez, L.
A. H., and Pettersson, J. (2011). Smart cities at the forefront of the future internet. In The
future internet, pages 447–462. Springer.
IBM (2012). IBM Smarter Healthcare. http://ibm.co/bCJpHX. "[Online] Available:
19-November-2012".
Ishida, T. (2002). Digital city kyoto. Communications of the ACM, 45(7), 76–81.
Kalogridis, G., Efthymiou, C., Denic, S. Z., Lewis, T. A., and Cepeda, R. (2010). Privacy for
smart meters: Towards undetectable appliance load signatures. In Smart Grid
Communications (SmartGridComm), 2010 First IEEE International Conference on, pages
232–237. IEEE.

REFERÊNCIAS

116

Kapadia, A., Kotz, D., and Triandopoulos, N. (2009). Opportunistic sensing: Security
challenges for the new paradigm. In Communication Systems and Networks and Workshops,
2009. COMSNETS 2009. First International, pages 1–10. IEEE.
Keele, S. (2007). Guidelines for performing Systematic Literature Reviews in Software
Engineering. Technical report, EBSE Technical Report EBSE-2007-01.
Khurum, M. and Gorschek, T. (2009). A systematic review of domain analysis solutions for
product lines. Journal of Systems and Software, 82(12), 1982–2003.
Kistler, F., Sollfrank, D., Bee, N., and André, E. (2011). Full body gestures enhancing a game
book for interactive story telling. In Interactive storytelling, pages 207–218. Springer.
Kitchenham, B., Pickard, L., and Pfleeger, S. L. (1995). Case studies for method and tool
evaluation. IEEE software, 12(4), 52–62.
Kite, V. (2014). Urbanization and the evolution of cities across 10,000 years. "[Online]
Available: 01-Maio-2014".
Klein, C. and Kaefer, G. (????). From smart homes to smart cities: Opportunities and challenges
from an industrial perspective.
Komninos, N. and Sefertzi, E. (2009). Intelligent cities: R&D offshoring, Web 2.0 product
development and globalization of innovation systems. Second Knowledge Cities Summit.
Könings, B., Schaub, F., Weber, M., and Kargl, F. (2010). Towards territorial privacy in
smart environments. In AAAI Spring Symposium: Intelligent Information Privacy
Management.
Krontiris, I. and Dimitriou, T. (2013). Privacy-respecting discovery of data providers in
crowd-sensing applications. In Distributed Computing in Sensor Systems (DCOSS), 2013
IEEE International Conference on, pages 249–257. IEEE.
Laney, D. (2001). 3D data management: Controlling data volume, velocity and variety.
META Group Research Note, 6.
Lee, J., Baik, S., and Lee, C. (2011). Building an integrated service management platform
for ubiquitous cities. Computer, 44(6), 56–63.
Li, X., Xu, G., and Li, L. (2008). RFID based smart home architecture for improving lives.
In Anti-counterfeiting, Security and Identification, 2008. ASID 2008. 2nd International
Conference on, pages 440–443. IEEE.
Liampotis, N., Roussaki, I., Papadopoulou, E., Abu-Shaaban, Y., Williams, M. H., Taylor, N. K.,
McBurney, S., and Dolinar, K. (2009). A privacy framework for personal self-improving
smart spaces. In Computational Science and Engineering, 2009. CSE’09. International
Conference on, volume 3, pages 444–449. IEEE.
Lioudakis, G. V., Koutsoloukas, E. A., Dellas, N. L., Tselikas, N., Kapellaki, S., Prezerakos,
G. N., Kaklamani, D. I., and Venieris, I. S. (2007). A middleware architecture for privacy
protection. Computer Networks, 51(16), 4679–4696.

REFERÊNCIAS

117

Lioudakis, G. V., Kaklamani, D. I., and Venieris, I. S. (2009). Personal data protection under
the InfoCity lights. In Wireless Technology Conference, 2009. EuWIT 2009. European, pages
104–107. IEEE.
LUO, J. (2004). The security and privacy of smart vehicles. IEEE Security & Privacy.
Lupiana, D., Mtenzi, F., O’Driscoll, C., and O’Shea, B. (2010). Strictly alphanumeric data:
Improving privacy in smart environments. In Internet Technology and Secured Transactions
(ICITST), 2010 International Conference for, pages 1–3. IEEE.
Ma, H., Zhao, D., and Yuan, P. (2014). Opportunities in mobile crowd sensing.
Communications Magazine, IEEE, 52(8), 29–35.
Maisonnasse, J., Gourier, N., Brdiczka, O., Reignier, P., and Crowley, J. L. (2006). Detecting
privacy in attention aware system. In Intelligent Environments, 2006. IE 06. 2nd IET
International Conference on, volume 2, pages 231–239. IET.
Malek, J. A. (2009). Informative global community development index of informative
smart city. In Proceedings of the 8th WSEAS International Conference on Education and
Educational Technology, pages 17–19.
Marmol, F. G., Sorge, C., Ugus, O., and Pérez, G. M. (2012). Do not snoop my habits:
preserving privacy in the smart grid. Communications Magazine, IEEE, 50(5), 166–172.
Meira, S. (2014). Definindo Big Data. "[Online] Available: 28-Abril-2014".
Miles, M. B. and Huberman, A. M. (1994). Qualitative data analysis: An expanded
sourcebook. Sage.
Milne, J. (1999). Questionnaires: advantages and disadvantages. Learning Technology
Dissemination Initiative.
Mitchell, C., Mitchell, C., and Mitchell, C. (2005). Trusted computing. Springer.
Moncrieff, S., Venkatesh, S., and West, G. (2008). Dynamic privacy assessment in a smart
house environment using multimodal sensing. ACM Transactions on Multimedia Computing,
Communications, and Applications (TOMCCAP), 5(2), 10.
Montagna, J. A. (2014). The Industrial Revolution. "Yale-New Haven Teachers Institute,
[Online] Available: 01-Maio-2014".
Mostashari, A., Arnold, F., Maurer, M., and Wade, J. (2011). Citizens as sensors: The
cognitive city paradigm. In Emerging Technologies for a Smarter World (CEWIT), 2011 8th
International Conference & Expo on, pages 1–5. IEEE.
Mouratidis, H. and Giorgini, P. (2007). Integrating security and software engineering:
advances and future visions. IGI Global.
Nacional, C. (2014). Projeto de Lei nº 21, de 2014 (Marco Civil). Brasil.
Nam, T. and Pardo, T. A. (2011). Conceptualizing smart city with dimensions of technology,
people, and institutions. In Proceedings of the 12th Annual International Digital Government
Research Conference: Digital Government Innovation in Challenging Times, pages 282–291.
ACM.

REFERÊNCIAS

118

Nandakumar, V., Prathapaneni, N. K., Rajamani, N., and Subramaniam, L. V. (2013).
Information gathering via crowd-sensing. US Patent App. 13/755,767.
Narayanan, A. and Shmatikov, V. (2008). Robust de-anonymization of large sparse datasets.
In Security and Privacy, 2008. SP 2008. IEEE Symposium on, pages 111–125. IEEE.
of Communications, I. I. (2012). Personal Data Management: The User’s Perspective.
Technical report, International Institute of Communications.
of Standarts, N. I. and Technology (2010). Guidelines for Smart Grid Cyber Security.
Technical Report Privacy and the Smart Grid, The Smart Grid Interoperability Panel – Cyber
Security Working Group, NIST.
of State Freedom of Information Act (FOIA), U. D. (1974). The Privacy Act.
Ohm, P. (2010). Broken promises of privacy: Responding to the surprising failure of
anonymization. UCLA Law Review, 57(6).
Oyomno, W., Japinen, P., and Kerttula, E. (2011). Privacy preservation for personalised
services in smart spaces. In Internet Communications (BCFIC Riga), 2011 Baltic Congress on
Future, pages 181–189. IEEE.
Pan, J.-G., Lin, Y.-F., Chuang, S.-Y., and Kao, Y.-C. (2011). From governance to
service-smart city evaluations in Taiwan. In Service Sciences (IJCSS), 2011 International
Joint Conference on, pages 334–337. IEEE.
Paulos, E. (2009). Designing for doubt citizen science and the challenge of change. In in
Engaging Data: First International Forum on the Application and Management of Personal
Electronic Information. 2009: MIT. Citeseer.
Pekala, R. (1991). US Department of Energy. US Patent 4,997,804.
Pincus, W. (2013). Many cameras, little privacy. http://wapo.st/1g5WRDH. "[Online]
Available: 30-March-2014".
PlanIT, L. (2012). Cities in the Cloud, A Living PlanIT Introduction to Future City
Technologies. In Living PlanIT. Living PlanIT.
Plumb, D., Leverman, A., and McGray, R. (2007). The learning city in a ’planet of slums’.
Studies in Continuing Education, 29(1), 37–50.
Publishing, O. and OECD. Publishing (2002). OECD Guidelines on the Protection of Privacy
and Transborder Flows of Personal Data. Organisation for Economic Co-operation and
Development.
Ratti, C. and Nabian, N. (2010). The City to Come. Innovation: Perspectives for the 21st
Century, BBVA.
Ratti, C. and Townsendn, A. (2011). Harnessing Residents’ Electronic Devices Will Yield
Truly Smart Cities. http://bit.ly/17Yb2wR. "[Online] Available:
27-November-2013".
Reader, J. (2004). Cities. Grove Press.

REFERÊNCIAS

119

Reding, V. (2012). The EU Data Protection Reform 2012: Making Europe the Standard
Setter for Modern Data Protection Rules in the Digital Age. In Innovation Conference
Digital, Life, Design Munich, volume 22.
Roduner, C. (2003). Citizen Controlled Data Protection in a Smart World.
Rubinstein, I. S. (2013). Big Data: The End of Privacy or a New Beginning? International
Data Privacy Law Advance Access. Public Law & Legal Theory Research Paper Series Working
Paper Nº 12-56, "[Online] Available: 30-March-2014".
Salehie, M., Pasquale, L., Omoronyia, I., and Nuseibeh, B. (2012). Adaptive security and
privacy in smart grids: A software engineering vision. In Software Engineering for the
Smart Grid (SE4SG), 2012 International Workshop on, pages 46–49. IEEE.
Sanchez, L., Galache, J. A., Gutierrez, V., Hernandez, J., Bernat, J., Gluhak, A., and Garcia, T.
(2011). SmartSantander: The meeting point between Future Internet research and
experimentation and the smart cities. In Future Network & Mobile Summit (FutureNetw),
2011, pages 1–8. IEEE.
Sankar, L., Rajagopalan, S. R., Mohajer, S., and Poor, H. V. (2013). Smart meter privacy: A
theoretical framework. Smart Grid, IEEE Transactions on, 4(2), 837–846.
Searls, D. (2012). The Intention Economy: When Customers Take Charge. Harvard Business
Press.
Seligman, F. (2014). Marco Civil: a força das operadoras de telefonia por trás da disputa
política. "[Online] Available: 01-Maio-2014".
Senado, D. (1988). Constituição da República Federativa do Brasil de 1988. Brasil.
Sentupta, S. (2013). Privacy Fears Grow as Cities Increase Surveillance.
http://nyti.ms/1eOwFBm. "[Online] Available: 30-March-2014".
SETIS (2012). Strategic Energy Technologies Information System. http://bit.ly/TaNU41.
"[Online] Available: 19-November-2012".
Siddiqui, F., Zeadally, S., Alcaraz, C., and Galvao, S. (2012). Smart grid privacy: Issues and
solutions. In Computer Communications and Networks (ICCCN), 2012 21st International
Conference on, pages 1–5. IEEE.
Simo Fhom, H., Kuntze, N., Rudolph, C., Cupelli, M., Liu, J., and Monti, A. (2010). A
user-centric privacy manager for future energy systems. In Power System Technology
(POWERCON), 2010 International Conference on, pages 1–7. IEEE.
Sperber, D., Wilson, D., He, Z. ·., and Ran, Y. ·. (1986). Relevance: Communication and
cognition.
Stake, R. E. (1995). The art of case study research. Sage.
Stone, G. R. (2013). The Boston Bombing, The Right of Privacy and Surveillance
Cameras. http://huff.to/1eYGjww. "[Online] Available: 30-March-2014".

REFERÊNCIAS

120

Suomalainen, J. and Hyttinen, P. (2011). Security Solutions for Smart Spaces. In
Applications and the Internet (SAINT), 2011 IEEE/IPSJ 11th International Symposium on, pages
297–302. IEEE.
Sweden, V. (2009). The Fun Theory. http://bit.ly/Qbf7CD. "[Online] Available:
8-July-2012".
Swire, P. and Lagos, Y. (2013). Why the right to data portability likely reduces consumer
welfare: Antitrust and privacy critique. Maryland Law Review, 72(2).
Tene, O. and Polonetsky, J. (2012). Big Data for All: Privacy and User Control in the Age
of Analytics. Northwestern Journal of Technology and Intellectual Property, (239).
The World Bank (2013). Urban Population. http://bit.ly/17OWbio. "[Online]
Available: 25-October-2012".
Townsend, D., Knoefel, F., and Goubran, R. (2011). Privacy versus autonomy: A tradeoff
model for smart home monitoring technologies. In Engineering in Medicine and Biology
Society, EMBC, 2011 Annual International Conference of the IEEE, pages 4749–4752. IEEE.
United Nations (2007). World Urbanization Prospects: The 2006 Revision. Technical report,
Department of Economic and Social Affairs, Population Division.
United Nations (2011). World Urbanization Prospects: The 2011 Revision. Technical report,
Department of Economic and Social Affairs, Population Division.
United Nations (2014). World Urbanization Prospects: The 2014 Revision, Highlights.
Technical report, Department of Economic and Social Affairs, Population Division.
Vagts, H., Bauer, A., Emter, T., and Beyerer, J. (2009). Privacy enforcement in surveillance
systems. In Future security: 4th Security Research Conference.
Van Heerde, H., Anciaux, N., Feng, L., and Apers, P. M. (2006). Balancing smartness and
privacy for the Ambient Intelligence. In Smart Sensing and Context, pages 255–258.
Springer.
Ventura, F. (2014). Marco Civil da internet é sancionado por Dilma e começa a valer em
60 dias. "[Online] Available: 01-Maio-2014".
Walravens, N. (2011). The city as a platform. In Intelligence in Next Generation Networks
(ICIN), 2011 15th International Conference on, pages 283–288. IEEE.
Weiser, M., Gold, R., and Brown, J. S. (1999). The origins of ubiquitous computing research
at PARC in the late 1980s. IBM systems journal, 38(4), 693–696.
Westin, A. A. F. (1968). Privacy and freedom. Washington and Lee Law Review, 25(1), 166.
Winpenny, J. (2008). The United Nations World Water Assessment Programme: Investing
in information, knowledge and monitoring. Technical report, United Nations Educational,
Scientific and Cultural Organization.
Yin, R. K. (2014). Case study research: Design and methods. Sage publications.
Zygiaris, S. (2013). Smart City Reference Model: Assisting Planners to Conceptualize the
Building of Smart City Innovation Ecosystems. Journal of the knowledge economy, 4(2),
217–231.

121

Apêndice

122

A
Revisão Sistemática
Tabela A.1: Motores e termos de busca utilizados na Questão de Pesquisa 1

Motor de busca
ACM

CITESEERX

IEEE
ScienceDirect

Scopus

SpringerLink
WIPO (Patentes)

Termos de busca da Questão 1
(((Abstract:smart OR (Abstract:smart AND (Abstract:city OR Abstract:cities))) AND (Abstract:privacy OR (Abstract:privacy AND
(Abstract:framework OR Abstract:architecture)))))
(((abstract:smart OR (abstract:smart AND (abstract:city OR abstract:cities))) AND (abstract:privacy OR (abstract:privacy AND
(abstract:framework OR abstract:architecture)))))
(((smart OR (smart AND (city OR cities))) AND (privacy OR
(privacy AND (framework OR architecture)))))
TITLE-ABS-KEY(smart OR "smart city"OR "smart cities") AND
TITLE-ABS-KEY(privacy OR "privacy framework"OR "privacy
architecture")
TITLE-ABS-KEY(smart OR "smart city"OR "smart cities") AND
TITLE-ABS-KEY(privacy OR "privacy framework"OR "privacy
architecture") AND (LIMIT-TO(SUBJAREA, "COMP"))
(smart OR "smart city"OR "smart cities") AND TITLE-ABSKEY(privacy OR "privacy framework"OR "privacy architecture")
(((smart OR (smart AND (city OR cities))) AND (privacy OR
(privacy AND (framework OR architecture)))))

123

Tabela A.2: Motores e termos de busca utilizados na Questão de Pesquisa 2

Motor de busca
ACM

CITESEERX

IEEE
ScienceDirect

Scopus

SpringerLink
WIPO (Patentes)

Termos de busca da Questão 2
(Abstract:"smart city"OR Abstract:"smart cities") AND (Abstract:architecture) AND (Abstract:privacy OR Abstract:"privacy
management")
(abstract:("smart city") OR abstract("smart cities")) AND abstract:architecture AND (abstract:privacy OR abstract:"privacy management")
(("smart city"OR "smart cities") AND architecture AND (privacy
OR "privacy management"))
TITLE-ABS-KEY("smart city"OR "smart cities") AND TITLEABS-KEY(architecture) AND TITLE-ABS-KEY(privacy OR "privacy management")
TITLE-ABS-KEY(smart OR "smart city"OR "smart cities") AND
TITLE-ABS-KEY(architecture) AND TITLE-ABS-KEY(privacy
OR "privacy management") AND (LIMIT-TO(SUBJAREA,
"COMP"))
(("smart city"or "smart cities") and architecture and (privacy or
"privacy management"))
(architecture and (privacy or "privacy management"))

Tabela A.3: Data de execução das buscas

Motor de busca
ACM
CITESEERX
IEEE
ScienceDirect
Scopus
SpringerLink
WIPO (Patentes)

Q1
11/10/2012
12/10/2012
09/10/2012
12/10/2012
12/10/2012
16/10/2012
21/10/2012

Q2
12/10/2012
12/10/2012
12/10/2012
12/10/2012
12/10/2012
12/10/2012
21/10/2012

124

B
Go!SIP, a história
B.1

Enredo

(Início - Apresentação)
“ O que antes era privado, agora é público,
O que antes era difícil de copiar, agora é trivial para duplicar,
O que antes era facilmente esquecido, agora é armazenado para sempre. ”
Ron Rivest - Reversal of defaults
Opção 1: Iniciar a aventura - Vai para o Passo 0

B.1.1

(Passo 0)

Seu voo acaba de pousar em Privus.
Você olha para fora, o céu azul, os arranha-céus, a paisagem urbana e suspira... É a
oportunidade que você queria de começar uma nova vida por aqui, independente do que tenha
acontecido antes.
Você pega sua bagagem de mão e aguarda sua vez de desembarcar, até que um senhor de
aparência jovial acena para que você possa assumir seu lugar na fila.
No corredor estreito da aeronave você olha várias pessoas, conterrâneos, e se questiona
se estão aqui com as mesmas expectativas que você. Mentalmente você deseja a todas elas muita
sorte no recomeço.
Finalmente é sua vez de sair do avião; é bom respirar ar puro depois de 12 horas de voo.
Todos são direcionados para os balcões do serviço de imigração.
É agora.
Opção 1: Ir para o serviço de imigração - Vai para o Passo 1

B.1. ENREDO

B.1.2

125

(Passo 1)

A fila não está tão grande quanto você esperava. Assim que a família à sua frente é
atendida, você já fica aguardando ser chamado. Um aceno e você é convidado a se aproximar do
guichê:
“Um momento... Sua documentação, por favor”, diz o funcionário do serviço de imigração.
Você se supreende quando ele te informa que aqui você pode optar entre algumas formas
não convencionais pelas quais você pode fornecer seus dados, além da velha forma manual,
claro.
De onde você veio esses serviços são tão formais, que você nunca imaginaria que algum
dia as opções a seguir seriam apresentadas a você.
Então, o que você vai querer fazer?
*Nas opções de fornecimento de dados via redes sociais, o usuário era direcionado para
uma tela de login; assim que autenticado, as informações necessárias eram recuperadas de
perfil. A saber: nome, sexo, data de nascimento, email e foto.
Opção 1: Fornecer dados do Facebook - Vai para o Passo 2c
Opção 2: Fornecer dados do LinkedIn - Vai para o Passo 2c
Opção 3: Fornecer dados manualmente - Vai para o Passo 2c
Opção 4: Não quero fornecer meus dados

B.1.3

(Passo 2a)

"Suas feições me dizem que você vem de além das fronteiras do Mar Prestos, terras que
estão sendo destruídas na guerra pela posse dos [escassos] recursos hídricos da região, hã? OK.
Deixe-me ver sua documentação..."
Você aguarda apreensivo enquanto ele analisa sua documentação.
"Bom, pelo que vejo aqui está tudo certo. Seja bem vindo a Privus. Ah! E já ia me
esquecendo! Antes de mais nada, certifique-se de sempre levar seu dispositivo móvel, smartphone
ou tablet, com você; caso seja necessário contatá-lo ou você queira usar algum serviço, ele será
essencial."
Opção 1: Saber mais sobre Privus - Vai para o Passo 3

B.1.4

(Passo 2b)

Até tempos atrás, Privus sempre esteve de braços abertos para receber pessoas de
diferentes países e culturas. Até que essa confiança foi traída.

B.1. ENREDO

126
Figura B.1: Formulário de Dados Pessoais

Devido ao ataque terrorista que destruiu nosso país e nos forçou a reconstruir do nada,
não permitimos a entrada de estrangeiros que não submetam suas informações pessaois à nossa
averiguação.
Você será levado até a sala de longa espera enquanto formalizamos sua deportação.
(Fim da história)

B.1.5

(Passo 2c)

Aqui você pode configurar cada grupo de dados de forma individual.
Certifique-se de configurar a importância de cada grupo de dados, para influenciar na sua
experiência nas próximas etapas.
Atente-se para informar aqui o quão importante você considera cada perfil seu - dados
pessoais, financeiro, localização, médicos e relacionamento - representando o quão privado você
o considera.
Você deve preencher os campos assinalados com (*).
Formulário de Dados Pessoais - Figura B.1
Formulário de Dados Financeiros (Fictícios) - Figura B.2
Formulário de Dados de Consumo (Fictícios) - Figura B.3
Formulário de Dados Localização (Fictícios) - Figura B.4
Formulário de Dados Médicos (Fictícios) - Figura B.5
Formulário de Dados de Relacionamento - Figura B.6
Opção 1: Continuar - Vai para o Passo 2a

B.1. ENREDO

127
Figura B.2: Formulário de Dados Financeiros (Fictícios)

B.1.6

(Passo 3)

"Bom, acho que você já deve ter ouvido algo sobre nosso país e nossa cidade, mas ainda
assim quero deixar claro para você como anda a situação por aqui."
"Secreta, nosso querido país, já não é a mesma coisa desde 2015, quando o governo assumiu publicamente que monitorava toda e qualquer transação realizada por meios convencionais
ou eletrônicos. A notícia causou revolta generalizada no país, acentuando a confusão gerada
pelas constantes denúncias de corrupção na alta cúpula governamental. As coisas se tornaram
meio hostis por aqui."
"E como se não bastasse o impacto que a economia sofreu por conta das mazelas políticas,
o país foi assolado por um ataque terrorista, motivado pela existência esclarecida das indústrias
de armamento biológico e nuclear instaladas aqui."
"Hoje, dois anos depois de o caos ter se instaurado, o país está saindo da fase de
reconstrução. Privus foi, certamente a cidade mais atingida pelo que ocorreu, por conta de ser

B.1. ENREDO

128
Figura B.3: Formulário de Dados de Consumo (Fictícios)

o centro político e econômico do país. A metrópole é reconhecida pela produção científicotecnológica e isso representa muito por aqui; os privenses têm orgulho de afirmar que foi essa
capacidade de gerar conhecimento aplicado que ajudou a cidade a se reerguer tão depressa,
enquanto as cidades menos favorecidas ainda se lamentam na penúria."
"Quem chega por aqui nem nota que há pouco tempo tudo não passava de ruínas, como
uma selva de cimento - sólida e cinzenta - destruída. A praça central agora está tão linda quanto
sempre fora; a catedral pode ser vista desde o pórtico de entrada da cidade, elegante e imponente
com suas paredes de pedra e vitrais coloridos com imagens angelicais. As ruas estão de volta à
organização habitual. Prédios, lojas, escolas, hospitais, tudo foi projetado, construído do nada
que restara, para comportar tecnologia, conforto e funcionalidade."
"Não é de se espantar que aqui até mesmo os postes estão online 24/7."
"Ninguém mais ousa perguntar o porquê de tanto investimento em infraestrutura de
tecnlogia. Desde que a população começou a vivenciar os benefícios da conectividade, tudo ficou
menos burocrático e mais cômodo. Ninguém aqui precisa perder tempo com papéis e presença
física em lugar algum. Grande parte dos serviços são digitais e muito bem integrados. Você, por
exemplo, não ousaria sair de casa e passar pela Condessa de Sá, avenida principal da cidade, em
pleno dia de chuva sem uma pesquisa online sobre como andam as coisas por lá, se o tráfego
está liberado, se é um dia daqueles que os carros estão proibidos e os metrôs funcionam em
esquema especial para atender a população, visandodiminuir a pegada de carbono da cidade ou
se o tráfego foi redirecionado por causa de algum acidente."
"Mas, tudo tem seu preço."
"Talvez não a praça, a catedral ou o pórtico, nisso tudo a cidade nem parece que passou

B.1. ENREDO

129
Figura B.4: Formulário de Dados de Localização (Fictícios)

pelo que passou. Mas o povo, este permanece assustado e temeroso. Ninguém mais se sentia
seguro e isso refletiu nas ações do governo em burocratizar a entrada de estrangeiros no país.
Como consequência, mais do que antes, privacidade por aqui troca-se por segurança, conforto e
comodidade."
"Em Privus, nada é tão particular. Sua cordialidade, somada à sua rotina e toda a sorte
de monitoramento a que você está exposto podem dizer muito sobre você. Como um bom
forasteiro você deve estar se perguntando: "Muito, o quanto?". Bom, que tal se eu te disser que
o prefeito Garcia Costa - mesmo sendo tão presente e dedicado à família - descobriu, através
do Goucipi News que a própria filha estava grávida, graças à combinação de termos de buscas
que ela utilizou em seu computador pessoal, frequência com ela ia ao banheiro no colégio e
algumas alterações hormonais identificadas na rotineira higiene matinal, graças ao Health Mirror
- construído com tecnologia e conhecimento locais, a propósito - que faz um checkup nos sinais
vitais e alguns outros testes básicos de alterações corporais. Acho que dá pra ter noção do que
digo, não?"
"Bom, esse foi um... Ops! (Exibir notificação: ’Notificação do Privus Master Location:
Sr. Guia Novos históricos de localização estão disponíveis para análise!’) Acho que esse barulho
é meu Citizen Monitor... E veja, acabo de receber aqui o histórico de localização dos habitantes...”
“E olha quem está logo aqui... É você! Legal, não? Todas as autoridades têm acesso a
um desses, que é para ajudar no caso de avaliarmos como está o fluxo pela cidade e agirmos em
caso de alguma anormalidade."
"Por aqui também temos o Privus Citizen... é um aplicativo muito interessante para
qualquer pessoa que esteja por aqui. Por ele você tem acesso ao Fakebook, uma rede social para

B.1. ENREDO

130
Figura B.5: Formulário de Dados Médicos (Fictícios)

você estar em contato constante com seus amigos e tudo o mais sobre eles, e o Twistter, um
microblog que você fica por dento de diversos assuntos do seu interesse. São bem legais, quando
puder, instale. Acho que você vai gostar."
"Voltando ao que estava dizendo, nada é tão privado por aqui. Às vezes penso que isso é
bom, por que nos permite experimentar serviços mais personalizados e mais específicos para
nossas necessidades; até os serviços públicos têm melhorado bastante. No entanto perdemos
controle sobre o que sabem de nós... Bom, mas esse já é assunto para outra hora."
"Enfim, você está liberado para ir. Espero que tenha uma ótima estadia por aqui"
"Ah! E já ia me esquecendo! Antes de mais nada, certifique-se de sempre levar seu
dispositivo móvel com você, seu smartphone ou tablet; caso seja necessário contatá-lo ou você
queria usar algum serviço, ele será essencial."
O que você deseja fazer agora?
Opção 1: Fazer um tour pela cidade - Vai para o Passo 4a
Opção 2: Ir para casa - Vai para o Passo 4b
Opção 3: Quero me encontrar com meus amigos - Vai para o Passo 4c

B.1.7

(Passo 4a)
Um tour pela cidade? Excelente escolha!

B.1. ENREDO

131
Figura B.6: Formulário de Dados de Relacionamento

Bom, você é um novato por aqui, então imagina-se que você queira explorar até se perder
de vista. Por precaução, é recomendável que você habilite o serviço de localização pois, caso
você se perca, será mais fácil para se encontrar ou mesmo para pedir ajuda.
Além do serviço de localização, acho que você ainda não tem Fakebook. Quando as
pessoas chegam por aqui sempre gostam de tirar fotos e compartilhar, conversar com seus amigos,
ou mesmo fazer check-in nos lugares que acham mais interessante.
Oferecer Serviços Gugou Maps e Fakebook, ver Seção B.2 para detalhes.
Pronto? Então vamos começar nosso tour!
Bom, aqui nós estamos na entrada principal da cidade.
Aqui à nossa esquerda fica banca do Sr. Pedro. Um senhor muito distinto que tem sempre
muitas histórias da grande Guerra para contar. ’Bom dia Seu Pedro!’
Neste prédio está instalado o Centro de Comando Policial de Privus. Aqui também fica o
Centro de Monitoramento e Informação, de onde saem as decisões estratégicas para situações de
risco, investigação de crimes, análises populacional para quaisquer interesses. Nós brincamos
aqui que, se você não sabe alguma coisa sobre você mesmo, é aqui que você deve vir; eles com

B.1. ENREDO

132

certeza saberão...
Vamos andando. O Corpo de Bombeiros se instalou neste prédio tem pouco tempo. Ficou
bem localizado até...
Aqui também fica a maior academia da cidade. Sempre que passa por aqui, é nesta
academia que o Presidente gosta de queimar suas calorias presidenciais. Ah! E veja, esse tipo de
promoção "Faça check-in, ganhe desconto"é bem comum por aqui.. Às vezes me pergunto o
que eles ganham com isso. Eu, particularmente, faço quantos check-ins forem necessário para
ganhar um descontão.
Este é o Hospital Saint Joseph. Temos muito orgulho deste hospital. Além das inúmeras
especialidades, eles usam um sistema no qual os médicos têm acesso a um conjunto de informações consolidadas sobre os pacientes vindo das mais diferentes fontes possíveis. É interessante
por que o diagnóstico é muito preciso e os tratamento são específicos. Estando aqui você estará
em boas mãos.
Este prédio moderno e imponente aqui é a Casa do Governo de Privus; nome sofisticado
para um lugar mais conhecido como prefeitura.
Alí fica a Electric Privus, concessionária de energia elétrica local, na verdade só a
parte administrativa está instalada ali. Eles estão implantando um sistema interessante de
monitoramento de energia elétrica inteligente para residências que, de acordo com eles, vai
ajudar os cidadãos a economizar energia.
Este é meu ponto preferido da cidade... A Praça Central. Eu passo por aqui sempre que
posso. Este ambiente de natureza que podemos presenciar aqui faz muito bem. Diferente da
paisagem urbana a que estamos acostumados.
Depois da reconstrução Privus ficou bem melhor quanto a essa coisa de natureza, mas
ainda tem muito a melhorar. Depois que as ruas foram pavimentadas, o escoamento da água da
chuva ficou bem prejudicado.
Aqui fica uma das maiores hamburguerias de Privus, o BurgerQueen. Não sei se você
é uma daquelas pessoas de hábitos alimentares radicais, mas para todo caso, vale a pena
experimentar...
Este aqui é o nosso museu. Acho que em alguns minutos ele estará aberto para visitação.
Se quiser saber com mais detalhes por tudo que nossa cidade já passou, é por aqui que você deve
começar.
Aqui fica nossa tradicional padaria. Parada obrigatória de qualquer cidadão privense que
se preze.
Nosso Shopping, Maximus... Tem ótimas salas de cinema e também muitos restaurantes
de comidas exóticas.
Aqui é o hipermercado Carrefive; tem um aqui e outro quase na saída da cidade.
Esse aqui é o clube esportivo da cidade. Todas as atividades aqui são gratuitas. Não sei
se você gosta de praticar esportes, mas se gosta, esse é o lugar!
Opa! Tem algo errado por aqui... Eu não passo por aqui com frequência, mas ali naquela

B.1. ENREDO

133

esquina costumava ser o Vikings’ Bar. E logo à esquerda deveria ter um... Ah não! Acho que
estamos perdidos. Me empolguei demais na conversa e não reparei o caminho que fizemos.
Como vamos voltar? Alguma ideia?
Opção 1: (Condição: Instalou Gugou Maps) Vamos usar o mapa - Vai para o Passo 5a
Opção 2: Deixa comigo, eu sei o caminho - Vai para o Passo 5b
Opção 3: (Condição: Instalou Fakebook) Quero pedir ajudar - Vai para o Passo 5c

B.1.8

(Passo 4b)

Imagino que a viagem tenha sido cansativa. Ok, você está liberado.
Antes de partir, gostaria de sugerir que você instalasse o serviço de localização no seu
smartphone ou tablet, para que fique mais fácil se localizar na cidade, ou mesmo te ajudar a ir
para sua casa agora.
Oferecer Serviço Gugou Maps, ver Seção B.2 para detalhes.
Opção 1: Seguir para casa - Vai para o Passo 5d

B.1.9

(Passo 4c)

Você decide se encontrar com seus amigos. Como é recém chegado na cidade você
decide usar alguma rede social para ver se encontra alguns dos seus amigos, que vierem muito
antes de você, para que possam se encontrar e sair para se divertir. Além disso, você precisa
saber o que tem para se fazer por aqui... restaurantes, bares, parques, academias, supermercados
e tudo o mais que, vez ou outra, você venha a precisar. Tem o bom e velho jeito tradicional,
do século passado, que é andar e andar e andar procurando o que você precisa, e tem a forma
moderna: usar alguma rede social.
Aqui em Privus, você tem duas opções muito interessantes de redes sociais: o Fakebook,
no qual você pode estar em contato com seus amigos, artistas, grupos e tudo o mais, compartilhando fotos, textos, vídeos, e também pode encontrar o que a cidade oferece em termos de
serviços, como restaurantes, mercados, oficinas mecânicas, bares, sempre destacando as opções
indicadas pelos seus amigos
Outra opção interessante de rede social que temos aqui, é o Twistter. O Twistter é um
microblog, onde você pode ficar por dentro de notícias, opiniões e discussões sobre assuntos
do seu interesse e também pode divulgar e compartilhar suas opiniões e conteúdos que ache
interessante. Mas tudo isso pode ser feito com no máximo 100 caracteres.
Oferecer Serviços Fakebook e Twistter, ver Seção B.2 para detalhes.
Opção 1: Continuar - Vai para o Passo 5e

B.1. ENREDO

B.1.10

134

(Passo 5a)

Ufa... Ainda bem que você tinha habilitado o serviço de localização, o Gugou Maps.
Agora, basta irmos olhando onde estamos e onde queremos chegar, no mapa, e compor
nosso trajeto escolhendo uma das ruas oferecidas como opção.
Iniciar subrotina Navegação, ver Seção B.3 para detalhes.
Opção 1: (Condição: Chegou no destino) Passo 7a

B.1.11

(Passo 5b)

Aparentemente você decidiu que nós saberíamos nos virar sozinhos... Agora é por nossa
conta e risco...
Estamos perdidos, não temos o auxílio do serviço de localização disponibilizado na
cidade e não temos a quem pedir ajuda...
A partir de agora, serão apresentadas para você, em cada esquina, as opções disponíveis
para seguir o trajeto de volta à entrada da cidade, lugar de onde viemos, vamos andar de acordo
com suas escolhas.
Iniciar subrotina Navegação, ver Seção B.3 para detalhes.
Opção 1: (Condição: Chegou no destino) Passo 7a

B.1.12

(Passo 5c)

Ajuda.. ajuda.. Deixe-me lembrar...
Sim! Podemos entrar no seu Fakebook e ver se algum dos seus amigos habilitou o serviço
de localização e tem acesso ao mapa para nos ajudar.
Se você adicionou algum amigo ao seu perfil (ainda não adicionou?? Faça isso agora
clicando aqui). Basta clicar, aqui ao lado esquerdo, no item "Fakebook", e pedir as coordenadas
para chegar ao seu destino!
Iniciar subrotina Navegação, ver Seção B.3 para detalhes.
Opção 1: (Condição: Chegou no destino) Passo 7a

B.1.13

(Passo 5d)

Você parte da entrada da cidade rumo ao novo lugar que você vai chamar de ’sua casa’
(que você conseguiu com alguns contatos antes de chegar por aqui), carregando um guia turístico
que lhe foi entregue assim que foi autorizado a entrar na cidade.
Você vira à esquerda, onde vê uma banca - do Sr. Pedro - como diz a fachada. Pelo
que parece, o Senhor Pedro deve ser homem simpático logo na porta conversando com alguns
clientes.

B.1. ENREDO

135

Logo em frente você vê o Hospital Saint Joseph. De acordo com o guia, os privenses têm
muito orgulho deste hospital. Além das inúmeras especialidades, eles usam um sistema no qual
os médicos têm acesso a um conjunto de informações consolidadas sobre os pacientes vindo das
mais diferentes fontes possíveis. O diagnóstico é muito preciso e os tratamento são específicos.
Você avista o prédio onde está instalado o Centro de Comando Policial de Privus. Aqui
também fica o Centro de Monitoramento e Informação, de onde saem as decisões estratégicas
para situações de risco, investigação de crimes, análises populacional para quaisquer interesses.
Uma brincadeira no guia diz que, se você não sabe alguma coisa sobre você, é aqui que você vir;
eles com certeza saberão...
Logo a frente você vê o prédio do Corpo de Bombeiros. Ficou bem localizado até...
Seguindo pela calçada você identifica o Colégio Ron Rivest. Pelo que se lê, os grandes
engenheiros e cientistas que produzem a tecnologia local estudaram aqui.
(Exibir notificação se usuário instalou o Gugou Maps: ’Notificação do Gugou: O Museu
de Privus estará aberto em 5 minutos! Não seria uma boa ideia passar e descobrir um pouco
mais sobre nossa história?’) Você chega então ao museu. De acordo com a placa informativa na
frente, em alguns minutos ele estará aberto para visitação.
(Exibir notificação se usuário instalou o Gugou Maps: ’Notificação do Gugou: Está
com fome? Que tal um hamburger? Passe no Burger Queen’) Passando em frente a um bistrô,
bem movimentado, você avista uma das maiores hamburguerias de Privus (de acordo com o
guia), o BurgerQueen. Não sei se você é uma daquelas pessoas de hábitos alimentares radicais,
mas para todo caso, vale a pena experimentar...
Você chega na Praça Central, um ambiente cheio de árvores, um gramado muito bem
cuidado, muito bancos à sombra, uma fonte bem ao centro e um pequeno lado, ao fundo, por onde
passa um pontezinha. Este ambiente de natureza que se pode presenciar aqui é bem diferente da
paisagem urbana a que você está acostumados.
(Exibir notificação: ’Seja bem vindo(a) a Privus <nome do participante>! Estamos a
disposição para ajudá-lo no que for necessário para o exercício de sua cidadania por aqui.’) Este
prédio moderno e imponente logo adiante é a Casa do Governo de Privus; nome sofisticado para
um lugar mais conhecido como prefeitura.
Depois você vê o hipermercado Carrefive (nome esquisito que não lhe é estranho...); de
acordo com o guia, tem um aqui e outro quase na saída da cidade.
Você então decide entrar e comprar alguma comida para levar para a casa.
Você dirige-se ao balcão de recepção e pega um tablet para te auxiliar na compra. É
de fato muito prático... Você pode ver o mapa de prateleiras e produtos, pode fazer sua lista
de compras e, conforme adiciona produtos o total já é exibido automaticamente, mesmo sem
nenhuma contrapartida sua.
(Exibir notificação: ’Seja bem vindo(a) ao Carrefive! Nosso hipermercado disponibiliza
tablets para te auxiliar nas comprar. Pegue o seu em um dos balcões de recepção! (Devolva ao
sair da loja)’) Finalmente você pega os mantimentos que deseja e procura o caixa. Depois de

B.1. ENREDO

136

um tempo, você percebe que não tem nenhum caixa ali e pergunta à funcionária da recepção
como funciona o pagamento. Ela então te informa que basta informar o número do seu cartão de
crédito na aplicação e o pagamento é efetuado assim que você deixar o supermercado.
Você informa os dados necessários para efetuar o pagamento e sai.
De volta ao seu caminho , logo em frente fica a Electric Privus, concessionária de energia
elétrica local. O guia que você trás em mãos informa que eles estão implantando um sistema
interessante de monitoramento de energia elétrica inteligente para residências que, de acordo
com eles, vai ajudar os cidadãos a economizar energia.
O guia lhe mostra o Shopping Maximus... A descrição diz que tem ótimas salas de
cinema e também muitos restaurantes de comidas exóticas.
Aqui ao lado tem uma Casa Lotérica, onde se pode pagar contas, fazer apostas e outros
serviços similares e, logo ao lado, fica a tradicional padaria privense. Parada obrigatória de
qualquer cidadão privense que se preze.
Finalmente, você chegou em sua casa nova casa.
Opção 1: Seguir - Vai para o Passo 6b

B.1.14

(Passo 5e)

Considerando sua vida lá do país de onde você veio, você já está cansado de andar a pé.
Sem contar que ia te dar uma boa moral encontrar-se com seus amigos em um carro zerinho.
Levando em conta suas finanças, você decide que pode comprar um carro. Além do mais,
você viu na previsão do tempo que uma frente fria está se aproximando de Privus e, com ela,
vem as chuvas. Francamente, você não vai querer ficar preso em casa, em um cidade cheia de
coisas novas para você conhecer, vai?
Você então vai até a concessionária Auto Privus. Chegando lá, você dá uma volta pelo
pátio para avaliar as possibilidades e aguarda até que o vendedor atenda uma senhora opulenta
que já estava lá.
Quando chega sua vez de ser atendido, o vendedor é bastante simpático e te mostra as
diversas opções entre utilitários, esportivos, família etc. Você se interessa por um modelo que
estava próximo à porta de entrada; para sua sorte, como tudo é muito prático aqui em Privus, o
vendedor te informa da disponibilidade imediata desse modelo em estoque, o que pode reduzir o
seu tempo de esperar em sair por aí andando com seu novo carrão.
Mas, nem tudo são flores, chega a hora de falar da parte ruim (ou boa, vai depender das
suas possibilidades financeiras): o pagamento. À vista, o carro custa <90% do valor em dinheiro
que o participante possui no score>, mas o vendedor te informa que eles estão fazendo uma
pesquisa a fim de melhorar o atendimento, a experiência de compra e projetar novos automóveis
mais adequados às diferentes necessidades dos clientes. Desta pesquisa, serão gerados novos
conceitos de veículos que, quando lançados, quem participou da pesquisa garante um descontão
de 40% na aquisição do novo modelo!

B.1. ENREDO

137

Pois bem. Os clientes que quiserem participar hoje, ganham magníficos 15% de desconto
(e o novo valor do automóvel que você quer comprar passa a ser <76,5% do valor em dinheiro que
o participante possui no score>) e, para participar, basta que você forneça algumas informações
financeiras, como o extrato bancário dos últimos 6 meses, seu nome, documento de identificação,
renda mensal e o preenchimento de um questionário socioeconômico.
Você decide...
Opção 1: Comprar o carro e participar da pesquisa - Vai para o Passo 6c
Opção 2: Comprar o carro sem participar da pesquisa - Vai para o Passo 6d
Opção 3: Continuar andando a pé - Vai para o Passo 6e

B.1.15

(Passo 6b)

"Pronto, chegamos em sua nova casa!". Diz o guia. "Aqui está a chave. Espero que tenha
uma ótima estadia aqui em nossa cidade".
Você acena. A exaustão já tomou conta há alguns minutos. Você mal pode esperar para
descansar.
Opção 1: Abrir a porta - Vai para o Passo 7c

B.1.16

(Passo 6c)

Seus dados financeiros estão sendo recuperados para serem fornecidos para a concessionária.
Enquanto isso, responda o questionário abaixo para garantir seu direito ao desconto de
15% no valor do automóvel.
(Exibir formulário extenso de perguntas de perfil socioeconômico).
Opção 1: Concluir a compra do meu carro - Vai para o Passo 7d

B.1.17

(Passo 6d)

Você optou por uma compra menos invasiva (apesar de mais cara) e decidiu não participar
da pesquisa.
Apenas seus dados pessoais foram fornecidos, como de costume para qualquer compra.
Opção 1: Concluir a compra do meu carro - Vai para o Passo 7d

B.1. ENREDO

B.1.18

138

(Passo 6e)

Você optou por não comprar o carro. Sabe lá quais são seus motivos...
Você liga para seus amigos e vocês decidem que vão ao Burger Queen. Como você é
novo na cidade, pediu que um deles lhe desse carona.
O(A) <nome de um(a) amigo(a)> vai passar aqui para te pegar em alguns minutos.
Enquanto eles não chegam você senta-se em um dos bancos da calçada que tem logo na esquina
da rua da concessionária.
Você repara que a movimentação por aqui é bem grande. Muitas pessoas fazendo
caminhada, outras correndos, alguns pais brincando com seus filhos, alguns casais passeando
com seus cães.. Tem até um casal de velhinhos fazendo sua caminhada... Em sua direção, mas a
frente fica a beira do lago. A paisagem faz você se perder em pensamentos por alguns instantes...
Você se pergunta se é possível ser sedentário por aqui, ou mesmo se existe alguma
estatística que mostre o impacto desses hábitos na qualidade de vida das pessoas.
Ops! Falando em pessoas, sua carona acabou de chegar...
Opção 1: Burguer Queen da galera, aí vamos nós! - Vai para o Passo 8c

B.1.19

(Passo 7a)

"Finalmente chegamos de volta à entrada da cidade".
"Bom, agora acredito que você deva estar um tanto cansado pela viagem e pela caminhada.
Aguarde um instante que vou levá-lo até a sua nova casa".
Opção 1: Ir para casa - Vai para o Passo 6b

B.1.20

(Passo 7b)

Infelizmente seu tempo hábil para encontrar seu destino acabou.
Você foi encontrado em estado de choque pelos seus amigos dias depois. Sem casa,
banho ou comida, seu estado era deplorável.
Por sorte agora você está bem e aos pouco se recupera do trauma de ter se perdido em
uma cidade na qual você tinha acabado de chegar, porém, sua experiência em Privus acabou.
(Fim da história)

B.1.21

(Passo 7c)

Lar, doce lar...
Opa! Você quase escorrega por causa de um envelope que tinha logo próximo da porta.
Você pega o envelope e para sua surpresa é da empresa de distribuição de energia elétrica, Electric
Privus.

B.1. ENREDO

139

Com muito cuidado você abre o envelope e verifica que é uma conta de energia, no valor
de 150,00. Provavelmente deve referir-se ao consumo do último inquilino. Você já estava ciente
de que isso poderia ocorrer e que, baseado nas leis locais, você sabe que é o responsável por esta
dívida. Isso não será o problema, já que você ainda tem <valor em dinheiro que o participante
possui no score> disponível em sua conta bancária aqui em Privus.
Sendo assim, o que você deseja fazer?
Opção 1: Pagar a conta agora mesmo - Vai para o Passo 8a
Opção 2: Depois eu vejo o que eu faço - Vai para o Passo 8b

B.1.22

(Passo 7d)

Você liga para seus amigos e vocês decidem que vão ao Burger Queen.
Esta será sua primeira oportunidade de estrear sua mais nova aquisição: seu carro. Como
alguns de seus amigos não têm carro, você ofereceu carona a alguns deles e resolve sair mais
cedo para pegá-los antes de ir para a hamburgueria.
Você entra no seu carro, senta-se confortavelmente em seu banco de motorista, inspira e
expira, vagarosamente... o cheiro inebriante de carro novo ainda está por aqui.
Você dá a partida, conecta seu dispositivo móvel ao som automotivo via bluetooth,
escolhe sua playlist preferida e segue para encontrar seus amigos.
Opção 1: Burguer Queen da galera, aí vamos nós! - Vai para o Passo 8c

B.1.23

(Passo 8a)

As autoridades locais apreciam cidadãos responsáveis...
Você tem a disposição duas formas de pagamento. Qual delas você escolhe?
Opção 1: Cartão - Vai para o Passo 9a
Opção 2: Dinheiro - Vai para o Passo 9b

B.1.24

(Passo 8b)

(Exibir notificação: ’Notificação da Electric Privus: A energia elétrica de sua residência
será interrompida em 5 dias!’) Inadimplentes por aqui ganham má fama muito facilmente. O
cadastro de maus pagadores é compartilhado entre as empresas e pode impactar em qualquer
interação de compra e venda futura.
Por sorte, você ainda tem 5 dias para efetuar o pagamento.
Opção 1: Continuar - Vai para o Passo 11a

B.1. ENREDO

B.1.25

140

(Passo 8c)

Vocês chegam ao Burger Queen e vêem que está bem cheio. Tem até uma pequena fila
de espera. Como vocês estão botando o papo em dia, decidem aguardam enquanto conversam.
É aí que um de vocês se depara com um grande cartaz que anuncia a seguinte promoção:
"Faça um check-in no Fakebook, com uma foto aqui no BurguerQueen e ganhe um desconto de
4!".
Você está na dúvida se compra a opção na promoção ou se escolhe um combo mais
completo, com refrigerante e fritas.
Finalmente chega a vez de vocês serem atendidos, você chega ao balcão e o atendente
pede que você faça seu pedido:
(Exibir formulário de pedido do Burger Queen).
A atendente então pergunta se você vai fazer o check-in. Oferecer Serviço de check-in,
ver Seção B.2 para detalhes.
É hora de fazer o pagamento. Sua conta totaliza <total do pedido>. Qual vai ser a forma
de pagamento?
Opção 1: Cartão - Vai para o Passo 9c
Opção 2: Dinheiro - Vai para o Passo 9d

B.1.26

(Passo 9a)

Você decidiu pagar sua conta de energia elétrica usando cartão. Esta é mesmo uma forma
cômoda e segura para fazer pagamentos.
Por questões de facilidade, isso será feito através do site de serviços do governo local.
Ver Figura B.7;
Opção 1: Continuar - Vai para o Passo 10a

B.1.27

(Passo 9b)

Ok. Para efetuar o pagamento em dinheiro voce precisa se dirigir a alguma estabelecimento mais próximo.
Como você é novo na cidade recomenda-se sempre o uso do Gugou Maps pois, caso
você se perca, será mais fácil para se encontrar ou mesmo pedir ajuda.
Os estabelecimentos onde você pode efetuar o pagamento de sua conta estarão escritos a
seguir.
Opção 1: Vamos à busca! - Vai para o Passo 10b

B.1. ENREDO

141
Figura B.7: Formulário de Serviço eGov

B.1.28

(Passo 9c)

Pagamento efetuado com sucesso!
"Muito obrigado, tenha uma ótima refeição"
(Exibir notificação se o usuário instalou o Fakebook: ’Notificação do Fakebook: <Nome
de um amigo> curtiu seu check-in no Burger Queen!’)
Você está dando muitas risadas com seus amigos. O ambiente está bem agradável, a
música ambiente está bem envolvente e você acaba esquecendo do mundo lá fora. Já fazia tempo
que você não comia um bom hambúrguer desses... Desde que o lado sul do mar Prestos entrou
em guerra, sua cidade ficou sem fornecimento de serviço externos. O governo não tinha muito o
que fazer quanto a isso. A dependência da importação de alimentos de países um tanto distantes,
fazia com que, uma vez iniciada a guerra, o transporte desses alimentos teriam que cruzar terras
inimigas, impedindo que chegassem até seu país. Tudo o que o povo podia fazer era viver do que
plantava. Nada mais.
Neste momento você é trazido de volta à sua realidade pelo som de notificação do
seu smartphone. A defesa civil de Privus avisa de uma chuva torrencial que se aproxima da
cidade e alerta para a possibilidade de evacuação de algumas áreas, graças à instalação de
sensores de monitoramento das condições climáticas; eles também pedem para que a população
contribua com reports do que está acontecendo na diversas partes da cidade, criando uma rede de
compartilhamento de informações sobre as condições da cidade.
Você então se dá conta que o céu está escuro lá fora e alguns relâmpagos já começam

B.1. ENREDO

142

atravessar o céu.
(Se o participante comprou o carro)
Como você não sabe muito bem como são as coisas por aqui nessas situações, você se
despede de seus amigos, oferece carona, caso algum deles necessite (eles gentilmente recusam,
vão ficar para mais um rodada), e parte dali.
(Se o participante não comprou o carro)
Como você não sabe muito bem como são as coisas por aqui nessas situações, você fica
receoso de sair para pegar um ônibus, taxi ou metrô. Você pede carona a um de seus amigos, um
deles diz que pode te levar para casa. O único problema é que ele bebeu mais do que devia e os
outros o convencem de que seria melhor deixar você dirigir. Vocês então partem dali.
(Fim - Se o participante comprou o carro)
O temporal começa. Uma verdadeira chuva torrencial. Você percebe que os motoristas
estão meio tensos no volantes, o que te deixa com um pressentimento nada bom.
(Se o participante instalou o Twistter)
Sua meta já era chegar na sua casa antes que o tempo piorasse. Agora, a urgência só se
intensifica.
(Se o participante instalou o Fakebook)
Para sua sorte, o mapa vai te ajudar com as ruas. Porém, apesar de existirem vários caminhos possíveis para você chegar até sua casa, alguns deles apresentam alagamento, impedindo a
passagem de veículos, e outras vias apresentam pontos de lentidão, o que vai fazer com que você
demore um pouco mais, correndo o risco de a situação piorar.
Para ajudá-lo, o serviço de localização conta com sua contrapartida: você pode enviar
um twistter com sua localização e um report da condição da via em que você está e, em troca,
recebe o status de alguma via que você deve evitar, ou porque está alagada (caso em que você
ficará fatalmente ilhado), ou porque está com trânsito lento.
(Se o participante não instalou o Fakebook)
Para amenizar a situação, já que você não tem o serviço de localização, serão apresentadas
para você as opções de ruas por onde você pode seguir no seu trajeto até sua casa. Apesar de
existirem vários caminhos possíveis, alguns deles apresentam alagamento, impedindo a passagem
de veículos, e outras vias apresentam pontos de lentidão, o que vai fazer com que você demore
um pouco mais, correndo o risco de a situação piorar.
Para ajudá-lo, o Twistter conta com sua contrapartida: você pode enviar um twistter de
texto com um report da condição da via em que você está, em troca, recebe o status de alguma
via que você deve evitar, ou porque está alagada (caso em que você ficará fatalmente ilhado), ou
porque está com trânsito lento.
(Fim - Se o participante instalou o Fakebook)
(Se o participante não instalou o Twistter)
Um cidadão com o Twistter em mãos agora teria informações valiosas sobre os trajetos.
Mas este não é o seu caso.

B.1. ENREDO

143

O que você vai ter a sua frente é um trajeto complicado, em meio a uma tempestade
difícil, com alguns desafio a sua frente, que você terá de resolver sozinho. Apesar de existirem
vários caminhos possíveis para você chegar até sua casa, alguns deles apresentam alagamento,
impedindo a passagem de veículos, e outras vias apresentam pontos de lentidão, o que vai fazer
com que você demore um pouco mais, correndo o risco de a situação piorar.
(Se o participante instalou o Gugou Maps)
Baseando-se no mapa, pense nos trajetos possíveis e conte com sua sorte.
(Se o participante não instalou o Gugou Maps)
Para seu azar, você não tem Twistter, nem o serviço de localização... Isso significa que
agora é hora de deixar teu instinto te guiar. Você terá apenas as opções de quais vias você pode
escolher em determinado momento.
(Fim - Se o participante instalou o Gugou Maps)
(Fim - Se o participante instalou o Twistter)
Você deve atentar para as seguintes instruções: 

Se a via que você escolher estiver alagada, você ficará fatalmente ilhado; 

Em caso de trânsito, seu deslocamento terá a velocidade reduzida proporcionalmente; 

O ideal é que você chegue são, salvo e, eventualmente, seco na sua casa :).

Vamos nessa?
Iniciar subrotina Navegação com Chuva, ver Seção B.3 para detalhes.
Opção 1: (Condição: Chegou na casa) Passo 11b
Opção 2: (Condição: Esgotou o número de tentativas) Passo 11c
Opção 3: (Condição: Entrou em rua alagada) Passo 11d

B.1.29

(Passo 9d)

Idem ao Passo 9c.

B.1.30

(Passo 10a)

Você acabou de efetuar o pagamento da sua conta de energia!
Pela pontualidade no pagamento, as autoridades te oferecem 5% de desconto na próxima
conta de energia.
Falando nisso, ao retornar para casa, você percebe que havia um folheto da distribuidora
de energia, a Electric Privus, caído no jardim de entrada da sua casa, falando sobre o uso recente
do medidor de consumo de energia inteligente, que coleta o consumo de energia elétrica de
cada equipamento dentro da residência e, além de permitir a geração da conta no final do mês,

B.1. ENREDO

144

também deixa você por dentro do consumo de cada equipamento, para que você saiba tim-tim
por tim-tim o que cada equipamento doméstico está consumindo.
Oferecer Serviço Smart Meter, ver Seção B.2 para detalhes.
Opção 1: Continuar - Vai para o Passo 11a

B.1.31

(Passo 11a)

Agora, no conforto da sua casa, você liga a TV e acaba zapeando até um canal de saúde,
o Privus Health, onde estão discutindo os malefícios de uma vida sedentária.
"A falta de exercício está causando tantas mortes em todo o mundo como o tabagismo,
de acordo com pesquisas realizadas recentemente, pela Universidade Federal Secreta, a UFS.
Mas, enquanto algumas centenas de atletas estiveram empurrando seus corpos ao limite,
a maior parte do mundo esteve assistindo na TV, sentado inativo por horas a fio.
Os cientistas dizem que não são eles, nem a Copa, que estão defendendo sessões excruciantes de ginástica. Como Pamela Moras, da UFS coloca: "E não se trata de correr em uma
esteira, enquanto olha para um espelho e ouve o seu iPod."
Não há nada de errado em ir para a academia, é claro, mas o objetivo é incentivar que
todos construam hábito de incluir atividades físicas em suas vidas diárias, como deslocar-se a pé,
andar de bicicleta, nadar ou fazer qualquer esporte que gostem.
O problema é que todos estamos acostumados com esses conceitos. Todos sabemos que
deveríamos nos mover mais e passar menos tempo sentados. Ainda assim, 1 em cada 3 adultos
no mundo inteiro não consegue fazer o recomendado: 150 minutos de atividade física aeróbica
moderada por semana.
Então ao invés de enfatizar os benefícios à saúde, provocados pelos exercícios, os
pesquisadores UFS optaram por mostrar os danos causados pela inatividade. Eles estimam que a
falta de exercício é responsável por cerca de 5.3 milhões de mortes por ano - quase o mesmo
número causado pelo tabagismo..."
Você zapeia para alguns outros canais... clipes musicais, uma novela mexicana com seus
personagens clássicos, um canal de notícias do qual você muda rapidamente por que percebe que
estão falando das guerras no além-Mar Prestos.. Você acaba voltando ao Privus Health.
(Exibir notificação: ’Preocupado com sua saúde? Faça mais por você mesmo, utilize
o Health Monitor o mais indicado Privus Health. Saber mais. . . ’. Oferecer Serviço Health
Monitor, ver Seção B.2 para detalhes.)
Você acaba de se sentar no sofá da sua sala para descansar da longa caminhada. O
coração está um pouco mais acelerado do que devia. Percebe que a boca está um tanto seca,
levanta-se, pega um copo de água e volta a sentar-se. Você sente um pouco de tontura, mas
entende que tudo está normal e que não há nada com o que se preocupar. Agora que você está
em uma nova cidade, pode se programar para uma nova rotina que inclua atividades físicas e um
alimentação balanceada, coisas que já não faz há um bom tempo.

B.1. ENREDO

145

Opção 1: Continuar - Vai para o Passo 12a

B.1.32

(Passo 11b)

Parabéns... Você acabou de estacionar seu carro na garagem. Por sorte, tudo está bem
por aqui. Você tranca o carro, ativa o alarme e vai para dentro de casa.
Está exausto, hoje foi um dia bem cheio. Agora é hora de tomar um bom banho, vestir
aquele moletom bem confortável, relaxar e, quem sabe, viver feliz para sempre.
(Fim da história)

B.1.33

(Passo 11c)

Seu combustível acabou.
Por pura infelicidade, o céu está desabando por aqui. Você poderia até tentar chamar
atenção de alguém para pedir ajuda, mas entende que isso beira o impossível. Seria mais fácil
nadar até sua casa, se você me permite a piada.
Não há o que fazer. Incline seu banco e tente tirar um cochilo, porque daqui você não vai
sair até que esta chuva pare.
Isso se ela parar...
(Fim da história)

B.1.34

(Passo 11d)

Ops, rua alagada... Não! Não tente acelerar e sair daqui, meu(inha) caro(a)... Isso aqui é
um carro, não uma lancha.
À essa altura, deve ter barro no filtro de ar, curtos circuitos estão fazendo uma festa na
parte elétrica... O caos se instaurou no seu carro. Se você sabe nadar, a hora é essa.
Devo lembrar que seu assento é flutuante; não resolve, mas já ameniza a situação.
(Fim da história)

B.1.35

(Passo 12a)

(Exibir notificação se usuário instalou o Health Monitor: ’Que tal incrementar o seu
Health Monitor com o serviço de atendimento emergencial onde quer que você esteja? Saber
mais...’. Oferecer Serviço Health Assist, ver Seção B.2 para detalhes.)
Você começa a sentir um pouco de fome e decide ir fazer algo para comer. Depois de
preparado um sanduíche, você volta a se sentar no sofá.
Enquanto isso, coloca no canal de notícias e aumenta um pouco mais o volume para que
possa ouvir...
".. Estará nas telonas hoje Tickle, uma animação feita pela Cisney, vivida por personagens
animados extremamente iguais aos humanos. A história de suspense é sobre uma mulher que

B.1. ENREDO

146

descobre ser enganada pelo marido. O fato curioso sobre o filme, é que é impossível identificar
a diferença entre atores reais e as animações. A técnica é vista como promissora e promete
revolucionar a indústria cinematográfica criando a licença de uso do rostos dos atores, ao invés
de pagar fortunas para incorporá-los no elenco, e a possibilidade de incluir atores que não estão
mais vivos ou que já estão aposentados às produções."
"Agora, na seção internacional, fala-se que amanhã é o último dia para circulação de
Euros em espécie para os países da União Européia. Devido ao crescimento do uso de Smart
Cards, a decisão de remover cédulas e moedas do mercado foi tomada há 5 anos atrás e na
próxima sexta feira encerra-se o prazo. Estabelecido em 1999, o Euro entrou em circulação em
2002 na União Européia e, de agora em diante, estará disponível apenas em museus."
"Nasceu esta manhã na cidade de Djambala, República do Congo, a pessoa de número
9000000000 no planeta. A mãe Ngasanya Ngollo, de 23 anos, disse que estava muito feliz com a
chegada de Titi, como será chamada a recém nascida."
"Analistas reportaram que..."
(Exibir notificação se usuário instalou o Health Monitor: ’Notificação do Health Monitor: Seus sinais vitais estão irregulares!’)
Alguma coisa não está certa... (Ver Figura B.8).
(Se o usuário instalou o Health Monitor)
(Se o usuário instalou o Health Assist)
Uma equipe de emergência está a disposição para ser enviada para sua residência.
(Fim - Se o usuário instalou o Health Assist)
(Se o usuário não instalou o Health Monitor)
Você precisa de socorro o mais rápido possível, o que deseja fazer?
(Fim - Se o usuário instalou o Health Monitor)
(Se o usuário instalou o Health Monitor)
(Se o usuário instalou o Health Assist)
Opção 1: Confirmar equipe de emergência - Vai para o Passo 14a
(Se o usuário não instalou o Health Assist)
Opção 1: Solicitar equipe de emergência - Vai para o Passo 13a
Opção 2: Ligar para alguém - Vai para o Passo 13b
Opção 3: Buscar socorro - Vai para o Passo 13c
(Fim - Se o usuário instalou o Health Assist)
(Se o usuário não instalou o Health Monitor)
Opção 1: Ops :( - Vai para o Passo 14b
(Fim - Se o usuário instalou o Health Monitor)

B.1. ENREDO

147
Figura B.8: Imagem da tela de problema de saúde

B.1.36

(Passo 13a)

Você escolheu solicitar uma equipe de emergência conveniada ao Monitor Health.
(Se o usuário instalou o Health Assist)
Para utilizar este serviço é necessário pagar uma taxa de 1500,00, além dos custos
hospitalares.
(Se o usuário não instalou o Health Assist)
Este serviço já havia sido adquirido por você no ato da assinatura.
(Fim - Se o usuário instalou o Health Assist)
Opção 1: Confirmar o interesse - Vai para o Passo 14a
Opção 2: Cancelar solicitação - Vai para o Passo 14b

B.1.37

(Passo 13b)

Você escolheu ligar para alguém.
Digite o telefone

B.1. ENREDO

148

(Exibir teclado de telefone).
Opção 1: (Condição: Fez a ligação) Seguir - Passo 14a

B.1.38

(Passo 13c)

Você escolheu buscar socorro.
Você começou a sentir tontura e muita dor no peito. Como estava sozinho em casa,
ninguêm pôde prestar socorro.
Você saiu cambaleante pela rua e tentou usar o carro do vizinho que estava estacionado
logo a frente. Sem muitas chances, você acabou desmaiando.
Não havia como alguém descobrir o que estava acontecendo, já que você era novo na
cidade e não conhecia ou era conhecido por ninguém. Você foi encontrado morto pelos vizinhos.
Horas depois descobriu-se que você teve um infarto, agravado pelo diabetes, colesterol e pela
vida sede
(Fim da história)

B.1.39

(Passo 14a)

"Olá... Bem vindo de volta... Por muito pouco você não partia dessa para melhor, hein?
Graças ao Health Monitor você pôde ser socorrido a tempo. Você se lembra quem é? Sabe me
dizer seu nome?"
(Ler nome inserido no formulário).
(Se o nome fornecido for igual ao do perfil) “Meu nome é <nome inserido no formulário>
...".
“Vê-se que não houve grande danos à sua memória.” (Se o nome fornecido não for igual
ao do perfil)
“Não lembro meu nome..."
“Fique calmo tudo está sob controle.... ainda temos alguns outros exames a serem feitos,
mas logo você ficará bem."
(Fim - Se o nome fornecido for igual ao do perfil)
"Você está no Hospital Saint Joseph, no centro de Privus."
(Se o usuário instalou o Health Assist)
"Nossa equipe recebeu uma notificação de que havia algo errado com seus sinais vitais e
uma ambulância foi enviada para sua casa."
(Se o usuário não instalou o Health Assist)
(Se o usuário instalou o Health Monitor)
(Se o usuário ligou para 190)
"No desespero você acabou ligando para a Polícia Militar."
(Se o usuário ligou para 192)

B.1. ENREDO

149

"No desespero você acabou ligando para o Serviço Público de Remoção de Doentes
(ambulância)."
(Se o usuário ligou para 193)
"No desespero você acabou ligando para o Corpo de Bombeiros."
(Se o usuário ligou para 194)
"No desespero você acabou ligando para a Polícia Federal."
(Se o usuário ligou para 197)
"No desespero você acabou ligando para a Polícia Civil."
(Se o usuário ligou para algum outro número)
"No desespero você acabou ligando para um civil, que anotou seu telefone e ligou para a
emergência."
(Fim - Se o usuário ligou. . . )
"Eles rastrearam seu telefone e descobriram sua localização. Ainda bem que você havia
habilitado o serviço; foi uma sábia escolha."
(Se o usuário não instalou o Health Monitor)
"Foi difícil descobrir sua localização. Como você não habilitou o serviço de localização,
uma equipe técnica teve que entrar em ação, para que então pudessem descobrir e rastrear seu
IMEI e, finalmente, achar sua localização."
(Fim - Se o usuário instalou o Health Monitor)
"Quando chegaram, te encontraram caído em frente ao sofá, TV ligada, parte de um
sanduíche jogado ao seu lado.O atendimento foi muito rápido, ainda bem que foram notificados
em tempo."
(Fim - Se o usuário instalou o Health Assist)
"Você já foi medicado e está se recuperando. Provavelmente terá que ficar mais um ou
dois dias aqui em observação, mas posso assegurar que seu quadro é estável e você não corre
mais riscos."
(Fim da história)

B.1.40

(Passo 14b)

Você até que tentou buscar socorro...
Você começou a sentir tontura e muita dor no peito. Como estava sozinho em casa,
ninguém pôde prestar socorro.
Você saiu cambaleante pela rua e tentou usar o carro do vizinho que estava estacionado
logo a frente. Sem muitas chances, você acabou desmaiando.
Não havia como alguém descobrir o que estava acontecendo, já que você era novo na
cidade e não conhecia ou era conhecido por ninguém. Você foi encontrado morto pelos vizinhos.
Horas depois descobriu-se que você teve um infarto, agravado pelo diabetes, colesterol e pela
vida sedentária.

B.2. SERVIÇOS E APLICAÇÕES

150

Figura B.9: Serviço de Localização, Gugou Maps

(Fim da história)

B.2

Serviços e Aplicações

B.2.1

Gugou Maps

Este serviço dá ao participante acesso ao mapa da cidade e permite que ele possa se
localizar durante as etapas de subrotina de navegação. Também é disponibilizado um lista de
endereços na cidade que pode facilitar o deslocamento baseando em objetivo, como por exemplo,
“vá ao mercado”, ou ainda “faça o pagamento de uma conta”.
Este serviço acessa o perfil Dados de Localização do participante.

B.2.2

Fakebook

Este serviço permite que os participantes do Estudo de Caso possam trocar mensagens
entre si.
O propósito principal do Fakebook é que, para os participantes que se recusarem a
instalar o serviço de localização, o Gugou Maps, ele seja como um recurso backup, sendo
possível solicitar a ajuda de algum amigo que tenha acesso ao mapa durante as etapas de
subrotina de navegação.

B.2. SERVIÇOS E APLICAÇÕES

151

Figura B.10: Aplicação de Localização, Gugou Maps

Este serviço acessa os perfis Dados Pessoais e Dados de Relacionamento do participante.

B.2.3

Twistter

Este serviço permite que os participantes do Estudo de Caso possam enviar twistters.
O propósito principal do Twistter é que, nas etapas de navegação com chuva, ele pode se
usado para obter informações sobre quais ruas estão alagadas e cujo tráfego deve ser evitado.
Caso o participante não tenha instalado, ele não terá essa informação de outra fonte.
Este serviço acessa os perfis Dados Pessoais e Dados de Relacionamento do participante.

B.2. SERVIÇOS E APLICAÇÕES

152

Figura B.11: Serviço Rede Social, Fakebook

B.2.4

Check-in

Este serviço permite que o participante tire várias fotos, simulando o mesmo procedimento de check-in que existem em aplicação como Facebook e Foursquare. Na história, ele
garante direito a desconto quando participante estiver na lanchonete Burger Queen.
Este serviço acessa os perfis Dados Pessoais e Dados de Relacionamento do participante.

B.2.5

Smart Meter

Este serviço faz o monitoramento (fictício) do consumo de energia elétrica nos equipamentos domésticos.
Não existe nenhum propósito específico dentro da história. O único objetivo dele é testar
se o usuário expõe seus dados de consumo. Ao longo do decorrer da história, o valor de consumo
dos equipamentos vai aumentando, de acordo com parâmetros fixos, para transmitir a sensação
de realidade para o participante.
Este serviço acessa o perfil Dados de Consumo do participante.

B.3. SUBROTINAS

153
Figura B.12: Aplicação Rede Social, Fakebook

B.2.6

Health Monitor e Health Assist

Estes serviços oferecem, respectivamente, um monitor (fictício) de sinais vitais e um
serviço de atendimento emergencial onde quer que o participante supostamente esteja na cidade.
O Health Monitor permite ao participante saber com antecedência que não está bem de
saúde, criando a possibilidade de sobrevivência na história.
O Health Assist está vinculado à compra do Health Monitor e me permite que o usuário,
uma vez que notificado que há algo errado com sua saúde, possa ser socorrido pelo atendimento
emergencial, garantindo sua sobrevivência no jogo.
Estes serviços acessam o perfil Dados Médicos do participante.

B.3

Subrotinas

B.3.1

Navegação

A subrotina de navegação ocorre em três momentos na história.
A primeira vez que ela aparece, o participante se perdeu durante o tour e deve retornar
para a entrada da cidade; a segunda aparição, o participante que escolhe pagar sua conta de
energia com dinheiro, deve dirigir-se até algum local onde possa fazê-lo; na terceira e última
aparição, o participante deve deslocar-se do Burger Queen até sua casa. Em todas as situações, o
funcionamento é basicamente o mesmo, conforme explicado a seguir.
Como pode-se ver na Figura 6.1, é mostrado na parte superior da tela onde o participante
se encontra e qual o objetivo, o destino, a ser alcançado. O mapa só é exibido para os participantes
que instalaram o serviço de localização.
Na parte inferior, o usuário pode escolher entre entrar em algum estabelecimento, sendo
este o objetivo ou não, ou seguir para algum dos destinos disponíveis. O trajeto só é concluido

B.3. SUBROTINAS

154
Figura B.13: Serviço Rede Social, Twistter

com sucesso quando o participante “entra” em seu destino.
B.3.1.1

Navegação com Chuva

A diferença do trajeto com chuva é que o participante tem uma quantidade limitada de
tentativas para chegar até seu destino, onde cada tentativa é contada quando uma nova rua ou
estabelecimento é escolhido. Daí a importância do uso do Fakebook ou do Gugou Maps e do
Twistter. O número de tentativas representa o combustível do automóvel em que o participante
está; caso o número de tentativas tenha sido excedido, ele não poderá continuar seu trajeto e a
história acaba.

B.3. SUBROTINAS

155

Figura B.14: Aplicação Rede Social, Twistter

Figura B.15: Aplicação check-in

B.3. SUBROTINAS

Figura B.16: Serviço de Medição de Energia Elétrica Inteligente

156

B.3. SUBROTINAS

Figura B.17: Aplicação de Medição de Energia Elétrica Inteligente

Figura B.18: Serviço de Monitoramento de Estado de Saúde

157

B.3. SUBROTINAS

158

Figura B.19: Serviço Atendimento Emergencial

B.3. SUBROTINAS

Figura B.20: Aplicação de Monitoramento de Estado de Saúde

159