Go!SIP: Um Framework de privacidade para cidades inteligentes baseado em pessoas como sensores

Welington Manoel da Silva

GO!SIP: UM FRAMEWORK DE PRIVACIDADE PARA CIDADES

INTELIGENTES BASEADO EM PESSOAS COMO SENSORES

Dissertação de Mestrado

Universidade Federal de Pernambuco [email protected] www.cin.ufpe.br/~posgraduacao

RECIFE 2014

Universidade Federal de Pernambuco

Centro de Informática

Pós-graduação em Ciência da Computação

Welington Manoel da Silva

GO!SIP: UM FRAMEWORK DE PRIVACIDADE PARA CIDADES

INTELIGENTES BASEADO EM PESSOAS COMO SENSORES

Trabalho apresentado ao Programa de Pós-graduação em Ciência da Computação do Centro de Informática da Univer-sidade Federal de Pernambuco como requisito parcial para obtenção do grau de Mestre em Ciência da Computação.

Orientador: Prof. Dr. Vinicius Cardoso Garcia Co-Orientador: Prof. Dr. Alexandre Alvaro

RECIFE 2014

Catalogação na fonte

Bibliotecária Jane Souto Maior, CRB4-571

S586g Silva, Welington Manoel da

Go!SIP: um framework de privacidade para cidades inteligentes baseado em pessoas como sensores / Welington Manoel da Silva – Recife: O Autor, 2014.

159 f.: il., fig., tab.

Orientador: Vinicius Cardoso Garcia.

Dissertação (Mestrado) – Universidade Federal de Pernambuco. CIn, Ciência da Computação, 2014.

Inclui referências.

1. Engenharia de software. 2. Privacidade. I. Garcia, Vinicius Cardoso. (orientador). II. Título.

Dissertação de Mestrado apresentada por Welington Manoel da Silva à Pós-Graduação em Ciência da Computação do Centro de Informática da Universidade Federal de Pernambuco, sob o título “Go!SIP: Um Framework de Privacidade para Cidades Inteligentes Baseado em Pessoas Como Sensores'” orientada pelo

Prof.Vinicius Cardoso Garcia e aprovada pela Banca Examinadora formada pelos professores:

______________________________________________ Prof.Kiev Santos da Gama

Centro de Informática/UFPE

______________________________________________ Prof.Fabrício Benevenuto de Souza

Departamento de Ciência da Computação/ UFMG

_______________________________________________ Prof.Vinicius Cardoso Garcia

Centro de Informática /UFPE

Visto e permitida a impressão. Recife, 25 de agosto de 2014.

___________________________________________________

Profa. Edna Natividade da Silva Barros

Coordenadora da Pós-Graduação em Ciência da Computação do Centro de Informática da Universidade Federal de Pernambuco.

À Deus. À minha família. Dedico.

Agradecimentos

Em primeiro lugar, gostaria de agradecer a Deus, que tem sido o meu refúgio e incon-dicional amigo. “(. . . ) It would take all day to tell You how I thank You". Foram tantas as dificuldades e oportunidades durante esta etapa, que me fazem ter a certeza de que eu nunca teria chegado aqui sem Teu auxílio.

À minha família, por entender as madrugadas em claro, churrascos e passeios que não pude ir e, apesar das dificuldades, obrigado por acreditar em mim e em meu potencial. Aos meus pais, José Aparecido e Sandra, em especial, obrigado pelos sacrifícios e pelas orações; não há nada que eu possa fazer para retribuir o que fizeram por mim. Às minhas irmãs, Renata e Noemi, obrigado por cuidarem de mim e pela compreensão nos dias em que a luz teve que ficar acesa até de madrugada; lembrem-se que dá pra ir mais longe, sempre.

À Letícia, minha namorada e revisora, que me apoiou desde o início, mesmo com a dificuldade da distância e a ausência, obrigado por ser paciente, por compartilhar, por ouvir, cuidar, ajudar e me fazer olhar para cima e à frente, quando tudo o que eu queria era desistir.

Ao meu amigo e irmão de coração, Gustavo Henrique Rodrigues Pinto Tomas, “brow”, a “fase Recife” deste mestrado ficou bem mais engraçada e suportável com nossas trapalhadas. Neste tempo de amizade e parceria eu aprendi com você lições que levarei para a vida toda; seu foco e obstinação em vencer este desafio foram realmente muito inspiradores. Obrigado pelas discussões, críticas, feedbacks, tanto a nível pessoal, profissional e acadêmico e, uma vez mais, obrigado por “botar a mão na massa” e me ajudar no desenvolvimento da aplicação.

Ao meu orientador Vinicius Garcia, obrigado por aceitar o desafio do trabalho à distância. A liberdade que me permitiu, desde o momento de escolha do tema, no desenvolvimento e direcionamento da proposta, aliada à confiança transmitida e os eventuais “empurrõezinhos” me proporcionaram um grande aprendizado. O fato de concordar em explorar um assunto, absolutamente novo e complexo, demonstra maturidade e entusiasmo, elementos fundamentais para resgatar, na academia, o apreço pela pesquisa que tem impacto prático na vida das pessoas.

Ao meu coorientador Alexandre Alvaro, por apresentar a oportunidade e compartilhar sua experiência. Aquela conversa descontraída que tivemos, assim que o projeto de mestrado foi aprovado, foi uma verdadeira injeção de encorajamento. Obrigado pela disponibilidade em propor/discutir/questionar as ideias e sempre propor um ”mas, e se. . . ”; isso, sem dúvida, me estimulou a ir um tanto mais longe do que eu imaginava que conseguia.

Aos meus amigos do Elyon Music e do Grupo Elyon, o tempo que passei com vocês me ajudou a não perder a sanidade.

Ao Centro de Estudos e Sistemas Avançados do Recife, obrigado pela credibilidade e apoio no desenvolvimento desse mestrado.

Para ser grande, sê inteiro: nada Teu exagera ou exclui Sê todo em cada coisa. Põe quanto és No mínimo que fazes. Assim em cada lago a lua toda

Brilha, porque alta vive. —RICARDO REIS (Fernando Pessoa)

Resumo

O crescimento desenfreado da população nos centros urbanos afeta diretamente a provisão de serviços concebidos para suprir às necessidades dos cidadãos. Com isso, academia e na indústria discutem que, grande parte das cidades, não contam com serviços básicos (como transporte, energia elétrica, água, saneamento básico, saúde pública, educação, segurança pública, etc.) devidamente preparados para suportar tamanho crescimento, nem mesmo possuem a infraestrutura necessária para gerenciar suas consequências.

Neste cenário se estabelece o conceito de Cidades Inteligentes, empregando Tecnologias de Informação e Comunicação (TICs) para solucionar ou minimizar problemas no âmbito urbano ligados à provisão de serviços, processando dados coletados de entidades imersas neste contexto, a fim de que se entenda a dinâmica de funcionamento da cidade, permitindo compreender os problemas, identificar falhas, propor e implementar soluções e melhorias, adequadas à sua realidade, visando melhorar a qualidade de vida dos cidadãos.

Dentre os dados coletados para o propósito citado, vindo de sensores instalados no ambiente, de dispositivos móveis, etc., existe uma quantidade significativa de dados pessoais, que podem ser analisados e combinados - divergindo do objetivo inicial - gerando situações que comprometam a privacidade individual. Com as informações geradas a partir deste processo, organizações privadas e públicas podem beneficiar-se, explorando as necessidades dos indivíduos monitorados ao deter mais informação e conhecimento sobre o indivíduo do que ele próprio. Este panorama reflete a forma como nossos dados são predominantemente tratados atualmente, configurando um paradigma centrado em dados, no qual o indivíduo, seus direitos e preferências são mantidos em segundo plano.

Considerando esse contexto, este trabalho realiza um estudo sobre propostas de privaci-dade para diversos domínios inteligentes, entendidos como peças essenciais na composição de Cidades Inteligente, extraindo os requisitos abordados por esses trabalhos, utéis na construção do Go!SIP, um framework de privacidade para Pessoas como Sensores.

A implementação dos requisitos selecionados para avaliação fundamentou-se em uma abordagem quantitativa, baseada na hipótese de que essa abordagem facilita a compreensão do indivíduo, deixando-o ciente dos riscos, e menos propenso a expor seus dados pessoais. Para execução da avaliação utilizou-se o formato de Estudo de Caso, através de storytelling e um gamebookinterativo, simulando diferentes cenários de exposição de dados em um ambiente urbano. A abordagem quantitativa de implementação dos requisitos mostrou-se favorável à hipótese inicial, repelindo os usuários das situações que requeriam exposição de suas informações pessoais, demonstrando, dentro das restrições estabelecidas, o potencial da proposta.

Abstract

The unbridled population growth in urban centers affects directly the provision of services designed to meet the needs of citizens. Therefore, academy and industry discuss that most cities do not have basic services (such as transportation, electricity, water, sanitation, public health, education, public safety, etc.) adequately prepared to support such growth or even have the necessary infrastructure to manage its consequences.

It is within this scenario that it is established the concept of Smart Cities, in which Information and Communication Technologies (ICTs) are employed to solve or minimize problems in urban areas, related to the provision of services, processing data collected from entities immersed in such context in order to understand the dynamics of the city, allowing to understand the problems, identify gaps, propose and implement solutions and improvements, suitable to its reality, aiming to improve the quality of life of citizens.

Among the data collected for the mentioned purpose, originated from sensors installed in the environment, mobile devices, the Internet itself, etc., there is a significant amount of personal data, that can be analyzed and combined - diverging from the original goal - creating situations that compromise individual privacy. With the information generated from this process, private and public organizations might benefit by exploring the needs of individuals monitored, since they have more information and knowledge about the individual than himself. This scenario reflects the way our data are predominantly handled currently by setting up a data-centric paradigm, in which the individual, his rights and preferences are kept in background.

Considering this context, this work performs a study on privacy proposals for several smart domains , seen as essential parts in the composition of a Smart City, extracting the requirements addressed by these works, useful for building Go!SIP, a privacy framework for People as Sensors.

The implementation of the selected requirements for the evaluation process was based on a quantitative approach, based on the hypothesis that it facilitates the understanding of individual, making him aware of the risks, and less prone to expose his personal data. For conducting the evaluation a case study was applied, using storytelling and an interactive gamebook, simulating different scenarios of data exposure in an urban environment. The quantitative implementation of the requirements was favorable to the initial hypothesis, repelling users of situations that required exposure of their personal information, demonstrating, within the established constraints, the potential of the proposal.

Lista de Figuras

5.1 Diagrama dos Níveis de Implementação de Privacidade que compõe o Go!SIP . 76

6.1 Exemplo da tela do Go!SIP . . . 97

6.2 Heat mapda história utilizada no Estudo de Caso . . . 102

6.3 Índice de Proteção Individual (IPI) Médio por perfil, para participantes com acesso às métricas . . . 103

6.4 IPI Médio por perfil, para participantes sem acesso às métricas . . . 103

B.1 Formulário de Dados Pessoais . . . 126

B.2 Formulário de Dados Financeiros (Fictícios) . . . 127

B.3 Formulário de Dados de Consumo (Fictícios) . . . 128

B.4 Formulário de Dados de Localização (Fictícios) . . . 129

B.5 Formulário de Dados Médicos (Fictícios) . . . 130

B.6 Formulário de Dados de Relacionamento . . . 131

B.7 Formulário de Serviço eGov . . . 141

B.8 Imagem da tela de problema de saúde . . . 147

B.9 Serviço de Localização, Gugou Maps . . . 150

B.10 Aplicação de Localização, Gugou Maps . . . 151

B.11 Serviço Rede Social, Fakebook . . . 152

B.12 Aplicação Rede Social, Fakebook . . . 153

B.13 Serviço Rede Social, Twistter . . . 154

B.14 Aplicação Rede Social, Twistter . . . 155

B.15 Aplicação check-in . . . 155

B.16 Serviço de Medição de Energia Elétrica Inteligente . . . 156

B.17 Aplicação de Medição de Energia Elétrica Inteligente . . . 157

B.18 Serviço de Monitoramento de Estado de Saúde . . . 157

B.19 Serviço Atendimento Emergencial . . . 158

Lista de Tabelas

2.1 Mapeamento Requisitos-Trabalhos . . . 28

4.1 Quantidade de trabalhos retornados por biblioteca digital . . . 54

4.2 Filtros aplicados no processo de revisão . . . 55

4.3 Uso de requisitos de privacidade em Smart X por domínio estudado . . . 67

5.1 Classificação do requisitos de acordo com os paradigmas PCD, PCU e PCS . . 75

5.2 Domínios estudados e seu paradigma predominante . . . 78

6.1 Impacto dos Serviços no score do participante . . . 96

6.2 Impacto dos Passos no score do participante . . . 96

6.3 Desistência nos passos da história . . . 98

6.4 Aquisição de serviços . . . 99

6.5 Índice de Exposição (IE) médio por perfil, para participantes sem acesso às métricas . . . 100

A.1 Motores e termos de busca utilizados na Questão de Pesquisa 1 . . . 122

A.2 Motores e termos de busca utilizados na Questão de Pesquisa 2 . . . 123

Lista de Acrônimos

API Application Programming Interface. . . 65

BD Big Data. . . 19

CI Cidade Inteligente . . . 17

CD Cidade Digital . . . 49

CE Comissão Européia . . . 43

DPD European Union Data Protection Data Protection Directive 95/46. . . 43

GPS Global Positioning System. . . 40

IPI Índice de Proteção Individual . . . 81

IE Índice de Exposição . . . 82

IoT Internet das Coisas . . . 27

IPI Índice de Proteção Individual . . . 81

M2M Machine to Machine. . . 18

NPV Nível de Proposição de Valor . . . 80

ONU Organização das Nações Unidas . . . 17

PCD Paradigma Centrado no Dado . . . 74

PCU Paradigma Centrado no Usuário . . . 74

PCS Paradigma Centrado no Serviço . . . 74

PS Provedor de Serviço . . . 64

Sumário

2.1.1 Requisitos para Cidades Inteligentes: Um Overview . . . 27

2.1.2 Considerações . . . 30

2.2 Privacidade . . . 31

2.3 Direcionamento . . . 33

3 Pessoas Como Sensores em Cidades Inteligentes 34 3.1 Pessoas Como Sensores . . . 36

3.2 A Problemática . . . 40

3.3 Pessoas Como Sensores, Leis e Big Data . . . 43

3.4 Privacidade Para Pessoas Como Sensores . . . 47

4 Mecanismos de Privacidade em Smart X 51 4.1 Revisão Sistemática . . . 53

4.1.1 Metodologia . . . 53

4.1.1.1 Processo de Busca . . . 53

4.1.1.2 Processo de Seleção . . . 54

4.2 Mecanismos de privacidade propostos para Smart X . . . 56

4.2.1 Smart Grids(SG) . . . 56

4.2.2 Smart Buildingse Homes (SBH) . . . 58

4.2.3 Smart Environment(SE) . . . 60

4.2.4 Smart Spaces(SS) . . . 62

4.2.5 Smart Health(SH) . . . 65

4.2.6 Outros domínios e Abordagens (OD) . . . 65

4.3 Requisitos Comuns . . . 67

5 Go!SIP, O Framework 72

5.1 Descrição do Go!SIP . . . 74

5.1.1 Classificação Baseada em Paradigmas . . . 74

5.1.1.1 Paradigma Centrado no Dado (PCD) . . . 74

5.1.1.2 Paradigma Centrado no Usuário (PCU) . . . 74

5.1.1.3 Paradigma Centrado no Serviço (PCS) . . . 74

5.1.2 Classificação dos Requisitos . . . 74

5.2 Considerações e Aplicação do Go!SIP . . . 78

5.3 Convergência de Paradigmas: Uma Abordagem Quantitativa . . . 80

5.3.1 Definições preliminares . . . 80

5.3.2 Cálculo de Exposição . . . 80

5.3.2.1 Índice de Proteção Individual . . . 81

5.3.2.2 Cálculo de Precisão do Atributo . . . 81

5.3.2.3 Índice de Exposição . . . 82

5.3.3 Cálculo de Similaridade . . . 82

5.4 Rumo à Avaliação . . . 84

6 Avaliação do Framework 85 6.1 Uma Visão Geral Sobre Estudos de Caso . . . 86

6.2 Escopo da Avaliação . . . 87

6.3 Metodologia . . . 88

6.3.1 Storytelling . . . 88

6.3.2 Gamebooks . . . 89

6.3.3 Por Que Storytelling e Gamebook? . . . 89

6.4 Execução da Avaliação . . . 91 6.4.1 A Criação da História . . . 91 6.4.2 Ferramentas . . . 92 6.4.3 Perfil de Participação . . . 92 6.4.4 Desenvolvimento . . . 92 6.5 Resultados . . . 98 6.6 Ameaças à avaliação . . . 104 7 Conclusão 105 7.1 Principais Conclusões . . . 107 7.2 Trabalhos Relacionados . . . 108 7.3 Trabalhos Futuros . . . 110 7.4 Considerações Finais . . . 111 Referências 112

Apêndice 121 A Revisão Sistemática 122 B Go!SIP, a história 124 B.1 Enredo . . . 124 B.1.1 (Passo 0) . . . 124 B.1.2 (Passo 1) . . . 125 B.1.3 (Passo 2a) . . . 125 B.1.4 (Passo 2b) . . . 125 B.1.5 (Passo 2c) . . . 126 B.1.6 (Passo 3) . . . 127 B.1.7 (Passo 4a) . . . 130 B.1.8 (Passo 4b) . . . 133 B.1.9 (Passo 4c) . . . 133 B.1.10 (Passo 5a) . . . 134 B.1.11 (Passo 5b) . . . 134 B.1.12 (Passo 5c) . . . 134 B.1.13 (Passo 5d) . . . 134 B.1.14 (Passo 5e) . . . 136 B.1.15 (Passo 6b) . . . 137 B.1.16 (Passo 6c) . . . 137 B.1.17 (Passo 6d) . . . 137 B.1.18 (Passo 6e) . . . 138 B.1.19 (Passo 7a) . . . 138 B.1.20 (Passo 7b) . . . 138 B.1.21 (Passo 7c) . . . 138 B.1.22 (Passo 7d) . . . 139 B.1.23 (Passo 8a) . . . 139 B.1.24 (Passo 8b) . . . 139 B.1.25 (Passo 8c) . . . 140 B.1.26 (Passo 9a) . . . 140 B.1.27 (Passo 9b) . . . 140 B.1.28 (Passo 9c) . . . 141 B.1.29 (Passo 9d) . . . 143 B.1.30 (Passo 10a) . . . 143 B.1.31 (Passo 11a) . . . 144 B.1.32 (Passo 11b) . . . 145 B.1.33 (Passo 11c) . . . 145 B.1.34 (Passo 11d) . . . 145

15 B.1.35 (Passo 12a) . . . 145 B.1.36 (Passo 13a) . . . 147 B.1.37 (Passo 13b) . . . 147 B.1.38 (Passo 13c) . . . 148 B.1.39 (Passo 14a) . . . 148 B.1.40 (Passo 14b) . . . 149 B.2 Serviços e Aplicações . . . 150 B.2.1 Gugou Maps . . . 150 B.2.2 Fakebook . . . 150 B.2.3 Twistter . . . 151 B.2.4 Check-in . . . 152 B.2.5 Smart Meter . . . 152

B.2.6 Health Monitore Health Assist . . . 153

B.3 Subrotinas . . . 153

B.3.1 Navegação . . . 153

16 16 16

1

Introdução

What was once private is now public, what was once hard to copy, is now trivial to duplicate, what was once easily forgotten, is now stored forever. —RON RIVEST (Reversal of defaults)

1.1. MOTIVAÇÃO 17

1.1

Motivação

A população do planeta está gradativamente deslocando-se para áreas urbanas. De acordo com relatórios da Organização das Nações Unidas (ONU) e do Banco Mundial, em 1950, cerca de 30% da população mundial vivia em áreas urbanas; desde então, este número quase duplicou até 2014, aumentando para 54%, com a estimativa de atingir 66%, em meados de 2050 (United Nations,2007,2011;The World Bank,2013;United Nations,2014).

Tamanho crescimento desenfreado traz consigo diversos problemas, no que diz respeito à provisão de serviços urbanos. Entende-se por serviço urbano qualquer ação direcionada a suprir necessidades básicas dos cidadãos, tais como eletricidade, água potável, transporte público, segurança, saúde, educação, saneamento básico, tratamento de resíduos sólidos, etc. A disponibilidade e efetividade destes serviços asseguram aos cidadãos uma qualidade de vida digna, reforçando a concretização dos artigos 21, 22 e 25 da Declaração Universal dos Direitos Humanos (Assembly,1948).

O principal motivo para tamanho crescimento da população urbana mundial é que, por natureza, as cidades geralmente oferecem maiores oportunidades de acesso aos serviços públicos citados, para perfis de famílias de diferentes realidades econômicas; além disso, é nas cidades que se espera encontrar um mercado de trabalho mais amplo e melhores condições de vida.

Entretanto, para que essas expectativas sejam materializadas, o Departamento de Assun-tos Econômicos e Sociais da ONU (United Nations,2014) aponta que se faz necessário uma abordagem de planejamento e gerenciamento, na qual os serviços urbanos sejam providos de forma igualitária e eficaz, sustentados por um conjunto vasto de informações sobre a cidade, de onde se possa extrair as necessidades a serem supridas, falhas em processos urbanos, quais medidas podem ser tomadas, bem como as evidências dos resultados das ações estabelecidas. A grande dificuldade que se apresenta é que a grande parte das cidades - principalmente de países subdesenvolvidos ou emergentes - não está devidamente preparada para suportar tamanho crescimento, nem mesmo possui a infraestrutura necessária para gerenciar suas consequências (Walravens,2011).

É neste cenário que se estabelece o conceito de Cidade Inteligente (CI) (ou, em inglês, Smart City). Apesar das diversas definições, é consenso afirmar que uma CI emprega tecnologia para solucionar problemas no âmbito urbano.

No aspecto humano e social, uma CI implica em melhorias no cotidiano dos cidadãos, com medidas implementadas ou suportadas por aparatos tecnológicos, promovendo acesso aos serviços urbanos (Anthopoulos and Fitsilis,2010).

No aspecto técnico, smart refere-se à conectividade onipresente, através de uma infra-estrutura sofisticada de informação e comunicação, permitindo otimização no uso de recursos finitos, materializando princípios como capacidade de adaptação às variáveis do contexto urbano, recuperação em situações de falha, segurança contra investidas mal intencionadas e otimização - soluções de problemas urbanos mais efetivas, melhor aproveitamento no uso de recursos e

1.1. MOTIVAÇÃO 18 maximização de resultados - na gestão de uma cidade, conforme discutido em (Nam and Pardo, 2011; Bowerman et al., 2000); estas tecnologias devem ser adaptadas ao ambiente urbano, criando-se um contexto adequado à participação física e virtual dos cidadãos, num processo de planejamento e gerenciamento “das partes” para o “todo”, ao contrário do que é feito atualmente (Chillon,2012).

De uma forma mais granular, uma cidade é inteligente quando utiliza Tecnologias de Informação e Comunicação (TICs) de forma apropriada para prover serviços a comunidade -permitindo participação democrática e estimulando o engajamento - melhorando a qualidade de vida, enquanto cria um ambiente mais sustentável, com investimentos de ordem social e infraestrutura moderna de comunicação, encorajando o desenvolvimento econômico através de uma gestão integrada e eficiente (Nam and Pardo,2011;Andreini et al.,2011;Asimakopoulou and Bessis,2011). Neste contexto, os cidadãos teriam acesso a uma variedade de tecnologias e serviços avançados, usando qualquer dispositivo, em qualquer lugar e a qualquer hora (Andreini et al.,2011;Chillon,2012).

O assunto CI ganhou relevância nos últimos anos como solução para a crescente demanda de serviços urbanos. Aliado ao crescimento sustentável, espera-se que o uso de TICs supra eficientemente tanto objetivos tecnológicos quanto de negócios (Walravens, 2011). Porém, mais que integração de sistemas, criação de infraestrutura ou implementação de serviços, o aspecto tecnológico assume papel de facilitador na criação de um ambiente de inovação, que requer criatividade, conectividade e colaboração; o aspecto social possui vital importância, tanto quanto (ou mais que) o tecnológico, exigindo a compreensão da complexidade nas relações sócio-tecnológicas do ecossistema urbano (Nam and Pardo,2011).

Para que o conceito seja colocado em prática, é necessário entender a dinâmica de funcionamento de cada cidade e, para tal, a coleta de dados é uma forma promissora que se apresenta, permitindo compreender os problemas, identificar falhas e propor melhorias e novas soluções para provisão de serviços, como sugerido em (United Nations,2014).

Com o propósito de gerar informações, que por sua vez favoreçam a sustentação de negócios, uma quantidade sem precedente de dados precisa ser coletada através de dispositivos, pessoas e sensores conectados, gerados a partir de inúmeras transações por dia. Esses dados podem ser coletados de forma ativa, nos modos tradicionais (como o preenchimento de formu-lários, questionários, etc.), ou ainda de forma passiva, como subproduto de outras atividades ou por transações Machine to Machine (M2M)1, sem ser necessariamente consentido - como a própria navegação na Internet, informações de localização obtidas a partir de dispositivos móveis (a exemplo do que foi noticiado em (Diallo,2013)) ou imagens capturadas por camêras de vigilância (como colocado em evidência em (Sentupta, 2013; Stone,2013; Diallo, 2013; Pincus,2013)).

Disperso no meio dos dados coletados existe uma quantidade significativa de dados pessoais, que podem ser analisados e combinados gerando ainda mais dados. Essa forma de

1.1. MOTIVAÇÃO 19 atuação se iguala em consequência à coleta passiva de dados, na qual o indivíduo é exposto sem conhecimento ou consentimento (of Communications,2012;Forum,2013;Tene and Polonetsky, 2012). O advento de Big Data (BD) (Chui et al., 2011; Rubinstein,2013), que implica na consolidação do gerenciamento dessas grandes massas de dados, agrava o comprometimento da privacidade.

EmRubinstein(2013), fala-se sobre três dimensões que definem BD: i) disponibilidade de dados em grande escala, coletados não somente a partir de transações online, mas através do uso de dispositivos móveis (através de sensores embarcados ou de aplicações que permitam compartilhamento de dados), interações com ambientes inteligentes (construídos através da Internet das Coisas) (Atzori et al.,2010) e a Web 2.0, que permite a criação e compartilhamento voluntários de dados pessoais e correlatos; ii) aumento na capacidade de armazenamento e processamento dos computadores modernos, que viabiliza o modelo de computação em nuvem e; iii) uso da capacidade computacional para armazenar e processar uma quantidade gigantesca de dados.

As características citadas acentuam a vulnerabilidade inerente aos dados pessoais dis-persos na referida massa de dados, quer sejam em sua forma primitiva (dado bruto) ou derivada (gerada a partir de algum tipo de análise), e levantam diversos questionamentos quando se discute a regulamentação de uma lei de proteção aos dados, principalmente no que tange a distinção entre dados pessoais e não pessoais e à validade das leis sobre os dados gerados a partir de análise e mineração de dados.

Em contrapartida, Tene e Polonetsky (Tene and Polonetsky,2012) discutem a necessidade de alinhar a evolução tecnológica e as realidades de negócio com os princípios de minimização de dados e limitação no propósito de uso desses dados. Porém, esses princípios são divergentes quando trata-se de BD, onde se prevê maximização de dados (quanto mais dados para analisar, mais refinados e precisos serão os resultados) e a descoberta de correlações não aparentes e/ou esperadas.

Além disso, um dos problemas imediatos de BD é o seu efeito incremental. Naturalmente, quanto maior o acúmulo de dados pessoais, mais comprometida a privacidade. A literatura mostra que, mesmo quando as grandes corporações tentam minimizar o impacto de suas ações com algoritmos de deidentificação2, é possível executar o processo reverso e associar novamente os dados aos respectivos indivíduos (Narayanan and Shmatikov,2008;Ohm,2010). Ademais, uma vez o dado exposto, torna-se praticamente impossível recuperá-lo e mantê-lo novamente em segredo.

Outro problema é o desequilíbrio entre os benefícios de governos e corporações e dos indíviduos monitorados. Primeiro, porque geralmente serviços online são oferecidos em forma de barganha: você cede seus dados e recebe em troca um serviço “gratuito”; neste cenário, assim como num jogo em que um jogador sabe de antemão as cartas do outro, governos e corporações

2_{Processo de reversão da anonimização aplicada ao dado, tirando quaisquer referências ao indivíduo a quem}

1.1. MOTIVAÇÃO 20 têm em mãos mais informações sobre o indivíduo do que ele possui sobre si mesmo, facilitando a exploração de suas necessidades, gerando vantagens unilaterais (Tene and Polonetsky,2012); segundo, o segredo de negócio das grandes corporações, ao invés de focado numa relação equilibrada de proposição de valor, restringe-se a dados que somente elas tem posse, coletados, utilizados e mantidos em condições alheias ao conhecimento público.

Este panorama reflete a forma como nossos dados são tratados, no qual o indivíduo, seus direitos e suas preferências são mantidos em segundo plano.

A proposta a ser descrita neste trabalho vai em direção semelhante aos princípios estabe-lecidos em (Reding,2012) e em (Computer Security Division,2013) e apresenta o Go!SIP, um frameworkpara proteção de dados pessoais em CI, no qual se extrapola o uso do dado por si só e permite-se o fluxo de conhecimento útil sobre a cidade e seus habitantes, em um processo de colaboração mútua, fomentado pelo consenso e decisão informados, possibilitando a manutenção da privacidade de dados pessoais.

1.2. OBJETIVOS 21

1.2

Objetivos

Frente à motivação apresentada, este trabalho possui os seguinte objetivos gerais:  Investigar mecanismos de provisão de privacidade propostos em diferentes contextos

inteligentes (que essencialmente compõe o que chamamos de Cidades Inteligentes);  Elencar um conjunto de requisitos comuns que sejam adequados ao paradigma de

interesse para este trabalho, o paradigma centrado no indivíduo;

 Conceber métricas quantitavas para representação dos requisitos de privacidade levantados;

 Identificar o impacto das métricas quantitativas concebidas na decisão de exposição de dados pessoais.

Finalmente, como objetivo específico, este trabalho visa, em linhas gerais:

 Propor um framework para provisão de privacidade em Cidades Inteligentes, con-templando o conjunto de requisitos levantados, dentro do paradigma centrado no indivíduo, priorizando direitos e preferências do usuário, permitindo-o tirar maior proveito do trade-off entre proposição de valor e exposição de dados pessoais, para os serviços consumidos.

1.3. ESCOPO NEGATIVO 22

1.3

Escopo Negativo

O contexto de CI é bastante amplo e complexo, bem como o problema da provisão de privacidade que se pretende abordar.

Apesar dos requisitos elencados como sendo recomendáveis para uma solução de privaci-dade em CI, é possível que, por falha humana ou publicação posterior à data que foi realizado o levantamento de trabalhos relacionados, alguma proposta com impacto significativo tenha ficado de fora.

Os seguintes aspectos não fazem parte deste do escopo tratado neste trabalho:

Mecanismos de segurança da informação: Este aspecto, implementado através de hardware, protocolos, algoritmos de criptografia, etc., não faz parte desta proposta. A própria segurança da informação é um conceito a parte de privacidade, já que é possível manter métodos e procedimentos seguros de acesso a informação e, ainda assim, violar o direito de privacidade de alguém. A intenção aqui é estabelecer um conjunto de guias no nível provedor/consumidor de serviços, do ponto de vista do usuário, já que a proposta tem como fundamento o paradigma centrado no indivíduo.

Descrição formal de serviços: O conceito de serviços e suas políticas tratado neste trabalho é bem superficial e não apresenta nenhum formalismo semântico de descrição da natureza do serviço ou mesmo operações feitas entre eles, como comparação (similaridade), deter-minação de reputação etc., por tratar-se de um assunto ortogonal, que não é o foco deste trabalho.

1.4. PRINCIPAIS CONTRIBUIÇÕES 23

1.4

Principais Contribuições

Como resultado do trabalho apresentado nesta dissertação, pode-se destacar as seguintes contribuições:

 Estado da arte de privacidade em domínios inteligentes: Para a construção da análise, este trabalho realiza uma extensiva pesquisa e análise de proposta de soluções de privacidade para ambientes inteligentes, entendendo-se que tais ambientes compõe uma CI;

 Requisitos de privacidade para domínios inteligentes: Como resultado da revisão sobre privacidade em ambientes inteligentes, este trabalho levanta um conjunto de requisitos comuns de privacidade, recomendáveis para soluções propostas para o contexto de cidades inteligentes;

 Definição dos paradigmas de implementação de privacidade: Distinção dos três paradigmas de implementação de privacidade encontrados na literatura: centrado em dados, centrado no indivíduo e centrado no serviço;

 Privacidade a longo prazo Este trabalho propõe uma discussão de privacidade que difere dos demais encontrados na literatura - em que privacidade é vista como um acontecimento imediato e episódico - dando-lhe um caráter mais urgente, sob uma visão a longo prazo;

 Métricas de auxílio à decisão de exposição: São apresentados três índices, a saber: Cálculo de Precisão de dados, Índice de Sensibilidade de dados e Índice de Similari-dade entre provedores de serviços, que servem de apoio ao indivíduo no momento da decisão de exposição de seus dados;

 Framework de privacidade para Cidades Inteligentes: Framework conceitual de privacidade, contemplando os requisitos vistos como essenciais dentro do paradigma de implementação de privacidade centrada no indivíduo;

 Condução de avaliação baseada em storytelling: Os métodos tradicionais de avali-ação encontrados na literatura, ou tinham envolvimento de aspectos de baixo nível, ou descreviam um processo não adequado à proposta, por priorizar o dado, ao invés do indivíduo. Com isso, buscou-se uma forma de estimular o engajamento dos usuários através de um método lúdico e dinâmico, isolando-o das preocupações da vida real. Além das contribuições citadas acima, seguem as publicações geradas ao longo da elaboração e execução deste trabalho:

1.4. PRINCIPAIS CONTRIBUIÇÕES 24

 SILVA, W. M.; ALVARO, A.; TOMAS, G. H. R. P.; AFONSO, R. A.; DIAS, K. L.; GARCIA, V. C.. Smart Cities Software Architectures: A Survey. In: the 28th Annual ACM Symposium, 2013, Coimbra. Proceedings of the 28th Annual ACM Symposium on Applied Computing - SAC ’13. New York: ACM Press, 2013. p. 1722.

 SILVA, W. M.; TOMAS, G.H.R.P; GARCIA, V. C.; ALVARO, A.. Synaptic City: An architectural approach using an OSGI Infrastructure and GMaps API to build a City Simulator. In: The 15th International Conference on Enterprise Information Systems (ICEIS), 2013, Anger. Proceedings of the 15th International Conference on Enterprise Information Systems (ICEIS), 2013.

 TOMAS, G.H.R.P; SILVA, W. M.; GARCIA, V. C.; ALVARO, A.. Smart Cities Architectures: A Systematic Review. In: The 15th International Conference on Enterprise Information Systems (ICEIS), 2013, Anger. Proceedings of the 15th International Conference on Enterprise Information Systems (ICEIS), 2013.

 AFONSO, R. A.; GARCIA, V. C.; ALVARO, A.; TOMAS, G.H.R.P ; SILVA, W. M.. Br-SCMM: Modelo Brasileiro de Maturidade para Cidades Inteligentes. In: IX Simpósio Brasileiro de Sistemas de Informação (SBSI), 2013, João Pessoa. Anais do IX Simpósio Brasileiro de Sistemas de Informação (SBSI), Trilha Especial - SI e os Desafios do Mundo Aberto, 2013.

25 25 25

2

Fundamentação Teórica

Do not go where the path may lead you, Go instead where there is no path and leave a trail. —RALPH WALDO EMERSON

2.1

Cidades Inteligentes

Os aglomerados humanos que hoje conhecemos como cidades surgiram quando os antigos caçadores nômades aprenderam as primeiras técnicas agrícolas. Com os alimentos excedentes que essas técnicas propiciavam, não era mais necessário que todos plantassem, surgindo a possibilidade de comercialização tanto de alimentos, quanto de ferramentas e outros bens. Com a necessidade de mão de obra para sustentar o comércio, algumas pessoas partiram do campo para esses aglomerados.

As cidades modernas só surgiram após a Revolução Industrial (1760) quando novas tecnologias, distribuídas em larga escala, permitiram que as cidades se expandissem e crescessem, criando a necessidade e culminando no surgimento dos serviços urbanos que conhecemos hoje (Montagna,2014;Reader,2004;Kite,2014).

Sob o ponto de vista tecnológico, as cidades também sofreram diversas alterações ao longo dos anos, utilizando TICs gradativamente, com o intuito de dar suporte aos serviços disponi-bilizados, de modo que sejam mais convenientes e acessíveis aos seus cidadãos e, principalmente, possam ser providos de forma mais eficiente e eficaz.

Dentro do histórico de evolução de cidades comuns, as Cidades Digitais, a exemplo das cidades cidades AOL (Fischetti,2011) e das cidades de Kyoto e Amsterdam, criadas nos anos 90, são as primeiras criações tecnológicas reportadas na literatura em direção ao que hoje chamamos de CI (Ishida,2002). Assim como nas Cidades Virtuais (Derudder,2011), nas Cidades Móveis (Anthopoulos and Fitsilis,2010), nas Cidades Úbiquas (Gil-Castineira et al., 2011;Lee et al.,2011) e nas Cidades Cognitivas (Mostashari et al.,2011), o objetivo era criar uma infraestrutura que possibilitasse o acesso democrático a alguns serviços, disponibilizados

2.1. CIDADES INTELIGENTES 26 de forma virtual, diminuindo a dependência da intervenção humana em processos repetitivos que poderiam ser automatizados. Estas abordagens, devido ao foco em serviços, acabavam criando silos de serviços, segregando informações que, se compartilhadas entre departamentos e organizações, poderiam gerar insumo para implementação de melhorias na gestão urbana.

Em seguida, esses modelos de cidades evoluíram da atenção aos serviços, para o fluxo de informação que esses serviços manipulavam. As Cidades da Aprendizagem (Plumb et al., 2007), as Cidades do Conhecimento (Anthopoulos and Fitsilis,2010) e as Intelligent Cities (Komninos and Sefertzi, 2009; Malek, 2009) visavam criar uma economia de informação baseada em ações coletivas, oferecendo infraestrutura para troca de conhecimento, como suporte à propagação do conhecimento e ao crescimento de negócios locais, estimulando o aprendizado, o desenvolvimento tecnológico e a inovação, envolvendo pesquisa, desenvolvimento e evolução de produtos e novas tecnologias, servindo de esteio para indústrias inovadoras.

Até este momento, o uso da tecnologia no contexto urbano havia priorizado o esta-belecimento e manutenção de negócios, fundamentados em informações obtidas através dos serviços providos, e negligenciado o aspecto humano inerente e o benefício coletivo da tarefa, sem visar melhorias na qualidade de vida do cidadãos através dos serviços disponibilidos. Frente à crescimento populacional apresentado na Motivação (Seção 1.1) deste trabalho, a atenção ao modo como o ecossistema urbano e suas dinâmicas impactam na qualidade de vida dos seus habitantes, assumem um carater emergencial. É neste cenário que se estabelecem as Cidades Inteligentes (CIs).

O conceito de CIs surge da necessidade de gerir os diversos problemas decorrentes do aumento da população nos grandes centros urbanos, afetando serviços como transporte, saúde pública, gestão de redes de energia elétrica e água, saneamento básico, etc. (Winpenny,2008).

De uma forma bem simplista, o gerenciamento de cada serviço sugere um monitoramento constante, suportado por mecanismos de coleta de dados. Estes dados podem ser processados e analisados, gerando como resposta alguma ação que assegure ou auxilie a provisão de serviços urbanos em níveis satisfatórios de qualidade e efetividade. Numa visão mais complexa, distribui-ção e integradistribui-ção são requeridos, tanto em reladistribui-ção aos elementos monitorados quanto à aplicadistribui-ção das ações necessárias; os dados devem ser relacionados e o processamento e a análise devem levar em consideração a influência de agentes externos e de outros serviços.

A visão complexa da aplicação de gerenciamento de serviços - distribuída e integrada - requer a utilização massiva de algum tipo de sensoriamento. É a partir de um conjunto de sistemas de monitoramento que se pode construir uma visão holística (visão sistema de sistemas) da cidade, dedicada à manutenção eficiente de seus serviços, com o objetivo de melhorar a qualidade dos mesmos.

Especializando esta visão para um cenário onde cada objeto é provido de inteligência e/ou tecnologia suficientes para transformá-lo em um provedor/consumidor de dados, é natural imaginar as referidas distribuição e integração, onde cada nó (objeto) possui parte da informação necessária para algum fim e tem uma responsabilidade específica de fazer esse dado chegar até

2.1. CIDADES INTELIGENTES 27 uma entidade centralizadora, capaz de processar e gerenciar os dados provenientes de diversas (eventualmente centenas ou milhares) fontes de dado. A este conjunto de objetos agindo de forma colaborativa, na busca de um propósito comum bem definido é chamado de Internet das Coisas (IoT), que constitui um dos fundamentos tecnológios essenciais na implementação de CIs (Atzori et al.,2010;Haubensak,2011).

Muitos dos problemas enfrentados pelas grandes cidades poderiam ser evitados, ou mesmo minimizados, se aplicado o gerenciamento de serviços, usando TICs (Haubensak,2011; Klein and Kaefer,????). O monitoramento do tráfego em ruas e rodovias poderia alimentar sistemas de informações capazes de redistribuir o fluxo de veículos, através de rotas calculadas em tempo real; o monitoramento do consumo de energia elétrica de eletrodomésticos permitiria otimizar sua operação, com base nos hábitos e necessidades dos residentes; desastres naturais poderiam ser previstos em tempo hábil para que as ações adequadas pudessem ser tomadas. Estes são apenas alguns dos cenários nos quais a tecnologia poderia assumir um papel auxiliar em tomadas de decisões estratégicas.

A literatura contém diversos trabalhos que reportam algumas implementações de CIs, que por sua vez incluem uma quantidade significativa de tecnologias e conceitos. Por este motivo, para embasar a temática deste trabalho, iniciou-se em uma revisão, publicada em (da Silva et al., 2013), na qual buscaram-se analisar concepções de arquiteturas para CI, propostas em trabalhos na academia e na indústria, sob o ponto de vista dos requisitos que buscam satisfazer, a fim de se encontrar os problemas mais abordados na área, bem como os tópicos de pesquisa mais carentes de atenção. Estes requisitos serão brevemente comentados na subseção que se segue.

2.1.1

Requisitos para Cidades Inteligentes: Um Overview

A Tabela 2.1 sumariza os requisitos e os respectivos trabalhos estudados nos quais foram encontrados.

O requisito Monitoramento em Tempo Real representa uma importante característica inerente ao contexto de cidades inteligentes: o monitoramento contínuo e em tempo real. O monitoramento em tempo real é o instrumental mais valioso para o fornecimento de informações relevantes que serão utilizadas para prever fenômenos. Um exemplo disso é o monitoramento do nível dos rios durante as temporadas de chuva. Nesta situação, a partir de um monitoramento efetivo, é possível tomar medidas para mitigar possíveis transtornos aos cidadãos, como enchentes e a transmissão de doenças.

Interoperabilidade de Objetos é um requisito fundamental para a consolidação de qualquer plataforma que utilize uma gama de objetos com diferentes especificações técnicas e protocolos de comunicação, no qual um objeto é uma abstração de sensor, atuador ou qualquer outro dispositivo que possa realizar algum tipo de computação.

O trabalho também identificou a importância da Sustentabilidade. Por redefinir essenci-almente a dinâmica de uma cidade, propostas de implementação para CIs precisam incluir, desde

2.1. CIDADES INTELIGENTES 28

Tabela 2.1: Mapeamento Requisitos-Trabalhos

Requisito Trabalhos

Monitoramento em tempo real (Al-Hader et al.,2009; Asimakopoulou and Bessis, 2011; Attwood et al., 2011; Filipponi et al., 2010; Hernández-Muñoz et al.,2011;PlanIT,2012;Sanchez et al.,2011)

Interoperabilidade de objetos (Filipponi et al.,2010;Hernández-Muñoz et al.,2011; Lee et al.,2011;Zygiaris,2013;PlanIT,2012)

Sustentabilidade (SETIS,2012; Haubensak, 2011; Klein and Kaefer, ????;Lee et al.,2011;Zygiaris,2013)

Dados históricos (Blackstock et al.,2010;Lee et al.,2011;PlanIT,2012; Sanchez et al.,2011)

Mobilidade (Blackstock et al., 2010; Hernández-Muñoz et al., 2011;Sanchez et al.,2011;Zygiaris,2013)

Processamento e sensoriamento dis-tribuídos

(Filipponi et al., 2010; Andreini et al., 2011; Hernández-Muñoz et al.,2011;Lee et al.,2011) Tolerância a falhas (Hernández-Muñoz et al.,2011;Nam and Pardo,2011;

Sanchez et al.,2011) Composição de serviço e

gerencia-mento urbano integrado

(Anthopoulos and Fitsilis,2010;Nam and Pardo,2011; PlanIT,2012)

Aspectos sociais (Asimakopoulou and Bessis,2011;Klein and Kaefer, ????)

Flexibilidade/Extensibilidade (Klein and Kaefer,????;Lee et al.,2011)

Privacidade (IBM,2012;PlanIT,2012)

sua concepção, políticas sustentáveis. Estas políticas devem estar relacionadas aos aspectos ambiental, econômico e social de cada domínio.

Quanto ao requisito Dados Históricos, no contexto de CIs, todos os componentes que compõem cada domínio de uma cidade estão constantemente sendo modificados, seja por eventos humanos, naturais ou tecnológicos. Dessa forma, todo dado captado tem potencial para compor uma informação relevante, desde que seja agregado a outros dados, logo, torna-se substancial que as propostas contemplem mecanismos eficientes de armazenamento e consulta desses dados.

Por sua vez, a Mobilidade é outro requisito fundamental que deve ser explorado. Por mobilidade, entende-se toda e quaisquer tecnologias móveis, capaz de captar informações do ambiente, passiva ou ativamente, ou atuar sobre o mesmo. A mobilidade é um dos principais aliados para a implementação do monitoramento em tempo real. Ao considerar que 4 bilhões de cidadãos já possuem smartphonesHall(2012), é natural associar mobilidade ao uso destes dispositivos. Porém outros dispositivos também podem ser utilizados, como ZigBee e RFID (Radio-frequency identification).

Para que sejam propostas soluções para o aumento da eficácia em serviços urbanos, é necessário que se façam aferições das características qualitativas ou quantitativas que permeiam esses serviços, bem como dos resultados que produzem. É através de sensoriamento que se obtêm a visão computacional do ambiente urbano; quanto maior o número de sensores e mais

2.1. CIDADES INTELIGENTES 29 disperso eles estiverem, maior será o escopo abrangido pela solução proposta. A heterogeneidade dos sensores utilizados influencia na riqueza de detalhes e na quantidade de dados que podem ser extraídos de cada cenário sendo monitorado, tornando possível a obtenção de resultados mais precisos; por exemplo, relatórios de trânsito em determinada via podem ser melhor analisados e complementados com imagens obtidas através de câmeras instaladas nas redondezas. Além disso, situações que exigem a adoção imediata de medidas preventivas ou corretivas requerem processamento em tempo real, com tempo de resposta rápido o suficiente para fundamentar as ações que devem ser executadas. Considerando quantidades massivas de dados coletados, o suporte à esse tipo de contexto sugere a necessidade de processamento distribuído, explorando a capacidade da infraestrutura existente. Esses cenários caracterizam o requisito Processamento e sensoriamento distribuídos (Hernández-Muñoz et al.,2011;Filipponi et al.,2010;Andreini et al.,2011;Lee et al.,2011).

Outro requisito identificado como importante para permitir a captação de dados, é a tolerância a falhas da infraestrutura subjacente, com mecanismos de controle de fluxo, colisão e redundância devem ser inerentes à solução. Entretanto, a implementação de uma CI não pode ser dependente da infraestrutura de cloud, ou seja, independente do estado da cloud, o sistema deve continuar obtendo e armazenando os dados, inclusive atuando de forma autônoma (Sanchez et al.,2011;Hernández-Muñoz et al.,2011;Nam and Pardo,2011).

O requisito Composição de serviços e Gerenciamento urbano integrado parte de uma visão sistêmica, na qual ambientes urbanos são essencialmente um conjunto de sistemas complexos, disponíveis para suprir as necessidades de seus cidadãos. Qualquer implementação de CI que pretende dar suporte a esse tipo de sistema deveria considerá-los como complementares na busca pelo gerenciamento urbano efetivo, ao invés de tratá-los de forma isolada. Assim sendo, serviços desenvolvidos para sustentar tais sistemas devem ser interoperáveis, de forma que outros serviços possam reusá-los, agrupá-los ou criar uma composição a partir deles, explorando importantes aspectos de sua correlação, ou mesmo criar uma visão holística e contextualizada da cidade, agregando informações de diferentes fontes, permitindo uma gestão urbana mais efetiva e integrada (Anthopoulos and Fitsilis,2010;Nam and Pardo,2011;PlanIT,2012).

Tendo em vista que o propósito principal na concepção de uma cidade inteligente é o aumento na qualidade de vida de seus cidadãos, outro requisito que surgiu a partir do estudo realizado foram os Aspectos sociais. Apesar do aparato tecnológico ser um dos possíveis elementos que podem ser utilizados para a implementação de CIs, as pessoas precisam participar e serem beneficiadas pelo processo, caso contrário, todo investimento será em vão. Um exemplo disso, é a Cidade Digital de Trikala, Grécia, que após cinco milhões de Euros gastos em manutenção de infraestrutura e 6 anos de funcionamento, a população não utilizava ou sequer tinha conhecimento dos serviços digitais disponíveisAnthopoulos and Fitsilis(2010). As pessoas precisam sentir-se inclusas como parte fundamental da solução idealizada no conceito de CI. Para isso podem ser criadas formas de estimular e/ou retribuir esse interesse, como é caso da iniciativa Fun TheorySweden(2009), da Volkswagen, na qual criam-se novas formas de se fazer

2.1. CIDADES INTELIGENTES 30 tarefas repetitivas, a fim de estimular a mudança de hábitos. Além disso, os serviços devem estar disponíveis para todos os cidadãos independente de quaisquer restrições social, física, econômica ou financeira, a tecnologia deve ser aplicada afim de trazer benefícios coletivos, e não alienar ou elitizar uma pequena parte da população (Asimakopoulou and Bessis,2011;Klein and Kaefer, ????).

A Flexibilidade/Extensibilidade também foi vista como um requisito relevante nas abordagens estudadas, apontando que mudanças, adaptações e extensões devem ser previstas, quando se estabelece uma CI. Além da inserção de novos serviços, novos tipos de sensores, diferentes tipos de dados coletados, diferentes contextos urbanos e funcionamento independente de padrões específicos de hardware devem ser contemplados, permitindo que possa ser adaptável a diferentes realidades (Klein and Kaefer,????;Lee et al.,2011).

Todas as questões de manutenção de dados envolvidas na concepção de uma CI são de suma importância. Porém, devem ser estabelecidas políticas de privacidade esclarecendo quais dados serão capturados e o que será feito com eles. Certamente a não consolidação destas políticas é um desafio que pode impedir os cidadãos, instituições e governo de fornecerem determinados dados críticos, atravancando o sucesso na implantação e manutenção de uma CI. O requisito privacidade foi abordado com menor profundidade/relevância em apenas dois dos trabalhos estudados, (PlanIT,2012;IBM,2012), expressando preocupação com a garantia desse direito aos cidadãos, apesar de ambos não disponibilizarem detalhes de como implementam privacidade em suas soluções, o que impediu uma análise mais apurada do assunto no contexto de CI.

2.1.2

Considerações

O levantamento desses requisitos permitiu que se pudessem identificar os tópicos de pesquisa mais/menos abordados no contexto de CIs, indicando possíveis direcionamentos que o trabalho aqui apresentado poderia assumir. A escassez de trabalhos explorando o tema privacidade a oportunidade que representa, foi o que despertou maior interesse, tanto pela interdisciplinaridade, quanto pelo potencial das possíveis soluções vislumbradas.

O intuito de tratar o tema sob o ponto de vista de CIs deu-se pela visão de que, o uso intensivo de TICs nas cidades, é uma tendência que representa uma evolução na forma de gestão urbana, utilizando serviços e informações em prol da qualidade de vida das pessoas. Entretanto, como consequência dessa evolução cria-se um ecossistema favorável ao uso desordenado de dados e informações pessoais, trazendo prejuízos para o cidadãos, anulando o efeito benéfico proposto pela tecnologia.

Na seção que se segue o tema privacidade será definido de acordo com a literatura, tendo seu significado estreitado para a conceituação que será utilizada ao longo do trabalho.

2.2. PRIVACIDADE 31

2.2

Privacidade

A escassez de trabalhos que abordassem o tema privacidade no survey brevemente descrito na seção anterior traz de volta o debate do direito à privacidade, que perdura desde a Declaração Universal dos Direitos Humanos, em 1948, quando o assunto ainda não tinha teor palpável e prático, com um caráter mais preventivo que corretivo, até os dias atuais. Após o caso Snowden1 e a ascenção do assunto para a mídia, o assunto ganhou atenção das massas. Este requisito fomentou o interesse de desenvimento deste projeto de pesquisa, tanto pela atendimeto escasso por parte das implementações estudadas, quando pelas possibilidades vislumbradas como possíveis soluções.

O significado de privacidade expandiu-se de acordo com a evolução dos sistemas de informação, a forma como usuários interagem com eles (bem como a consciência desses usuários sobre a forma como seus dados são tratados) e a proposição de valor que proporcionam. Apesar de não se ter encontrado um consenso literal, todas as definições direcionam para um cenário onde uma pessoa possui controle sobre quem, quando, como, por que, para que, onde e por quanto tempo seus dados serão utilizados por algum provedor de serviço.

Diferente da dinâmica que tínhamos nos anos 70, em que os dados pessoais eram coleta-dos e sua utilização era restrita a um propósito único e específico, atualmente algumas técnicas de análise e/ou mineração de dados podem ser aplicadas para se estabelecer as correlações, predições, etc., gerando conhecimento mais profundo sobre o proprietário dos dados (Forum, 2013), impedindo controlar as dimensões da exposição.

Na intenção de se regulamentar práticas para provisão de privacidade, as diretrizes de manutenção de privacidade propostos pela Organisation for Economic Co-operation and Development(OECD)2(Publishing and OECD. Publishing,2002) e pelo National Institute of Standards and technology(NIST)3(Commission et al.,2007), convergem em um conjunto de princípio que incluem a) transparência/abertura quanto às prática de uso de dados pessoais; b) envolvimento do indivíduo no processo de utilização de seus dados pessoais, provendo mecanis-mos apropriados de gerenciamento; c) determinação do propósito para o qual o dado está sendo coletado, bem como limitação do uso subsequente apenas ao necessário para o cumprimento do propósito especificado; d) coleta de dados diretamente relevantes e necessários para o propósito especificado, mantidos durante o tempo suficiente para que o propósito seja mantrrido; e) dados pessoas não devem ser divulgados, disponibilizados ou usados para propósitos diferentes do especificado; f) organizações devem certificar-se de que os dados coletados são/estão corretos, relevantes, adequados e completos; g) os dados devem ser protegidos quanto à perda ou acesso

1_{Para mais informações http://bit.ly/1rrgZJp}

2_{Uma organização cuja missão é promover políticas que visam melhorar o bem-estar social e econômico das}

pessoas ao redor do mundo, através de colaboração entre governos. Fonte: http://bit.ly/1oeDJt4, acessada em 03/05/2014.

3_{Fundado em 1901, o NIST é uma agência federal dentro Departamento de Comércio americano, que visa}

promover a inovação e competitividade industrial através do avanço no campo de medições, padrões e tecnologia. Fonte: http://1.usa.gov/1kHHLt9, acessada em 03/05/2014.

2.2. PRIVACIDADE 32 não autorizado, destruição, uso, modificação e exposição não intencional ou inapropriado; e h) organizações devem ser responsáveis pelo cumprimentos desses princípios, treinando e auditando sua aplicação em suas atividades.

Pode-se identificar este conjunto de requisitos embutidos nas regulamentações do uso de dados pessoais na União Européia, Estados Unidos e Brasil, conforme mostrado no capítulo 3, o que indica um consenso na implementação do conceito, ao menos no ponto de vista legal.

De acordo com a literatura, a noção de privacidade por ser divida em 4 categorias:  Privacidade Territorial: que visa controlar observadores e interferentes,

referindo-se à proteção de espaços físicos (ou territórios) privados (Chaum,1981; Könings et al.,2010);

 Privacidade Física: diz respeito à proteção da integridade física das pessoas contra a procedimentos invasivos (Banisar and Davies,1999);

 Privacidade de Comunicação: abrange a segurança e a privacidade de todas as formas de comunicação (Banisar and Davies,1999);

 Privacidade de Informação: refere-se à proteção de dados pessoais, ou seja, quando, como e em que extensão esta informação é comunicada a outros, mantendo-se a qualquer momento sob o controle completo do usuário (Heinroth and Minker,2011). O presente trabalho não trata das 3 primeiras categorias - territorial, física e comunicação - e refere-se à privacidade de informação genérica e simplesmente como privacidade. Em termos de definição-guia para posteriores discussões, considera-se um resumo dos trabalhos apresentados em (Publishing and OECD. Publishing, 2002; Cho et al.,2004; Heinroth and Minker,2011) amplo o suficiente para estabelecer uma visão genérica de privacidade, adequado ao escopo do trabalho: privacidade é atingida quando não existem dados mantidos em segredo e, em caso de exposição, os princípios sobre a coleta, cujos procedimentos devem estar estritamente de acordo com um propósito bem definido, e armazenamento - que garante o controle do usuário - são seguidos de uma forma responsável, incentivando o engajamento dos usuários.

2.3. DIRECIONAMENTO 33

2.3

Direcionamento

Neste capítulo foram definidos os conceitos de CI e privacidade, úteis no desenvolvimento e compreensão deste trabalho, bem como sua justificativa, baseada no resultado do survey sobre soluções de CIs, brevemente apresentado.

Na forma como são idealizadas hoje, CIs seriam projetadas para serem suportadas por um conjunto de serviços e infraestrutura essencialmente tecnológicos (e por que não dizer, com certa nuance futurista), construídos “do zero”, baseados na instalação e controle de uma infraestrutura robusta de hardware, software e comunicação, que dariam suporte aos requisitos comuns, descritos na Seção 2.1.1 deste Capítulo.

Para as cidades já existentes, um processo de adaptação faz-se necessário, no qual a infraestrutura de serviços e comunicação evolui gradativamente, adequando o uso de TICs à realidade socioeconômica da cidade, guiados, por exemplo, pela implementação dos requisitos levantados em (da Silva et al.,2013) ou ainda em um modelo de maturidade para CIs, como o proposto em (Afonso et al.,2013).

Contudo, em ambas situações, para que se complete o elenco de atuação efetiva para uma CI, é necessário o envolvimento das pessoas.

Pessoas são importantes em CIs por dois motivos básicos. Primeiro, por que cidades são fundamentalmente constituídas de pessoas e processos, sistemas e serviços que giram em torno delas; sendo o propósito principal promover um aumento e manutenção na qualidade de vida dos cidadãos, seria ingênuo e imaturo ignorar a razão-de-ser das CIs: as pessoas. Segundo, como apontado no livro Cidades Para Pessoas (Gehl,2010), o autor Jan Gehl afirma que, considerando que a maioria da população global tornou-se urbana ao invés de rural, as cidades terão que fazer mudanças cruciais em termos de planejamento e priorização, focando-se nas necessidades das pessoas que habitam/constituem/utilizam essas cidades; assim, o envolvimento das pessoas no processo implica em maior chance de compreensão dos problemas reais existentes, rumo a soluções que, efetivamente, produzam melhorias na qualidade de vida urbana.

Nas próximas seções deste capítulo serão discutidos a importância do envolvimento das pessoas na implementação de CIs em sua plenitude e os problemas decorrentes desse envolvimento.

34 34 34

3

Pessoas Como Sensores em

Cidades Inteligentes

Anybody who has been seriously engaged in scientific work of any kind realizes that over the entrance to the gates of the temple of science are written the words: ’Ye must have faith’.

—MAX PLANCK

De acordo com Ratti & Nabian (Ratti and Nabian, 2010) existem três mecanismos distintos de se monitorar uma cidade, a fim de extrair dela as informações necessárias que, quando devidamente processadas, possibilitem a tomada de decisões melhor fundamentadas e efetivas.

O primeiro mecanismo, ou sensoriamento viral, beneficia-se de sistemas já instalados (assim como vírus, que se instalam em outros organismos vivos), para quaisquer outros propó-sitos, cujo funcionamento produz naturalmente informações que, quando justapostas, podem determinar a forma como a cidade funciona. O segundo mecanismo, rede de sensores, baseia-se em sensores físicos (fixos ou móveis) instalados no ambiente de interesse, responsáveis por coletar variações nos atributos monitorados. O terceiro mecanismo, de maior interesse para este trabalho, é baseado em pessoas - ou crowdsensing, e permite que, através dos dispositivos móveis que estas pessoas portam, se extraiam informações sobre determinado contexto, tanto através do monitoramento a nível indivídual, quanto a nível comunitário, sendo o último de maior benefício coletivo, trantando-se de cidades.

No monitoramento baseado em pessoas em nível comunitário, o envolvimento do in-divíduo pode se dar de forma ativa, voluntária (por exemplo, reportando trânsito em alguma via), ou oportunista, que ocorre de forma passiva, sem necessariamente envolver o usuário, gerando novos dados sempre que o estado do dispositivo corresponder aos requisitos da tarefa de monitoramento (por exemplo, a coleta automática de informações de localização) (Ganti et al.,2011;Krontiris and Dimitriou,2013). Através deste mecanismos, cria-se uma versão

35 digital paralela à cidade física, “gerando diferentes tipo de dados que provêem uma visão única de como as pessoas vivenciam, trafegam e vêem a cidade; a população torna-se então uma rede distribuída de sensores que nos permite entender os padrões dinâmicos da cidade e as experiências de seus cidadãos, quase em tempo real” (Ratti and Nabian,2010).

3.1. PESSOAS COMO SENSORES 36

3.1

Pessoas Como Sensores

O propósito em focar a dimensão humana em CIs é fazer com que cidades evoluam de espaços inteligentes para cidadãos conectados.

Enquanto uma infraestrutura de comunicação de qualidade é um elemento chave dentro de uma Cidade Digital, em uma CI este é apenas o primeiro passo; equipamentos de rede, pontos de acesso públicos e sistemas de informação específicos também podem ser considerados. Várias cidades no mundo já disponibilizam acesso gratuito via conexão sem fio pública, como Barcelona (Espanha), Taipei (China), Paris (França), Helsinque (Suécia), Los Angeles (Estados Unidos), no Brasil, cidades como Campinas, Sorocaba e Recife também oferecem o serviço com algumas restrições1.

Além disso, graças à popularização do acesso à banda larga móvel - incluindo 3G (usando WCDMA2), modem e 4G (usando LTE3) - e às taxas de adesão e planos acessíveis, permitem que, mesmo fora da área de cobertura dos pontos de acesso sem fio públicos, as pessoas possam continuar conectadas. Aliado a isso, as estatísticas sobre o aumento no número de smartphones e do uso de Internet móvel nestes dispositivos aponta para um quadro promissor da inclusão destas pessoas como sensores. Uma pesquisa feita pela IDG Global Solutions, em 2011, mostra que 74,6% dos brasileiros navegam na Internet diariamente e 71,7% baixam e usam aplicações móveis. Outra pesquisa, feita pela IDC, uma subsidiária da IDG no Brasil, mostra que com base nos dados consolidados do mercado brasileiro de celulares em 2013, 11,5 milhões de unidades de smartphones, um volume de 123% em relação ao ano anterior, com expectativa de crescimento para os 4 anos seguintes4.

A vantagem da democratização da conectividade, é que os cidadãos tornam-se aptos a acessar e gerar conteúdo, permitindo que as cidades se tornem grandes hospedeiras de sensores “vivos”, de forma que as informações poderiam ser utilizadas para ajustar recursos e serviços urbanos de acordo com a necessidade dos cidadãos (Ratti and Townsendn, 2011). Em suas atividades diárias, pessoas geram dados em diferentes situações: transações online, emails, vídeos, imagens, cliques, logs de navegação, termos de busca, registros de saúde e interações em redes sociais, além dos dados recolhidos a partir de sensores pervasivos implantados na própria infraestrutura, tais como redes de comunicação, redes de energia, satélites de posicionamento global, ruas, residências, prédios, escritórios, automóveis, etc., que poderiam, além de monitorar

1_{Informações obtidas em http://bit.ly/1r9Oz5i, http://bit.ly/PnXQZk, http://bit.ly/}

1tt8Che, em 21/04/2014

2_{Do inglês Wideband Code Division Multiple Access, Acesso Múltiplo por Divisão de Código de Banda Larga,}

o WCDMA é um padrão de interface aérea, designado pela International Telecommunication Union como parte parte do sistema de comunicação móvel 3G, usado em redes UMTS(Universal Mobile Telecommunications Sytem) e HSPA(High Speed Packet Access), que pode transportar dados a altas velocidades, permitindo que operadoras de telefonia móvel forneçam serviços multimídia mais sofisticados, como stream de música, TV, vídeo e acesso à Internet banda larga. Fonte: http://bit.ly/1nksD8h

3_{Do inglês Long Term Evolution, é uma tecnologia de rede móvel que representa uma evolução do padrão e}

características do 3G. Fonte: http://bit.ly/1i8Pl1f

3.1. PESSOAS COMO SENSORES 37 informações sobre seu próprio status, coletar informações sobre o ambiente (Asimakopoulou and Bessis,2011;Tene and Polonetsky,2012).

A grande dificuldade identificada no uso de sensores físicos é que, além de estáticos, e o custo para implantação pode não condizer com as condições econômicas da cidade.

Geralmente sensores visam coletar dados, enviá-los para alguma entidade centralizadora, permitindo-os serem aproveitados de forma oportuna. Comumente eles estão espalhados em alguma área de interesse, focando em propósitos de aplicação específicos (Campbell et al.,2006). Com isso, o monitoramento fica suscetível a uma visão imediata do ambiente e depende de intervalos de tempo para ser atualizado.

Pessoas, ao contrário de sensores físicos, estão em constante movimento quase o tempo todo, além de estarem imersas em um entorno dinâmico e em constante mudança, possibilitando uma maior abrangência na área monitorada (Ma et al.,2014). Quando cidadãos estão envolvidos no processo de coleta de dados urbanos eles podem examinar seu entorno, reunindo informações sobre ele, tanto do panorama humano, quanto do físico, ajudando a compreender diversos aspectos de algum fenômeno, evento ou contexto de interesse (Nandakumar et al.,2013). Neste caso, os próprios cidadãos constituiriam produtores e consumidores de informação, graças às habilidades nativas de ver e ouvir, à onipresença dos smartphones e seus aplicativos e ao advento da Web 2.0, que impulsionou uma explosão de compartilhamento de informação (Lioudakis et al.,2009).

Alguns trabalhos encontrados na literatura, brevemente descritos nos parágrafos que se seguem, discutem a importância da atuação humana na construção, desde cidades digitais, às ubíquas até as inteligentes.

Recentemente, alguns estudos provaram o potencial dos dados provenientes de dispositi-vos móveis, originados de um novo paradigma chamado crowd computing ou citizen science. Estes estudos mostraram que dispositivos e sensores móveis podem ser usados por cidadãos comuns, que coletariam dados úteis para diferentes propósitos. Através da colaboração, os cidadãos também adquiririam um maior conhecimento sobre o que está acontecendo em seu entorno e, paralelamente, as organizações poderíam facilmente (e sem esforço) identificar as necessidades e desejos de seus consumidores (Paulos,2009).

Similarmente, Asimakopoulou & Bessis (Asimakopoulou and Bessis,2011) descrevem uma arquitetura para gerenciamento de desastres e aponta para atuação coletiva como uma alternativa de implementação de formas para que a comunidade possa contribuir e, ao mesmo tempo, receber informações úteis de acordo com o cenário atual. Este mecanismo de coleta de dados poderia levar a informações mais precisas e atualizadas relacionadas a diferentes aspectos, por exemplo, no caso de uma epidemia, a identificação, posicionamento e condições de saúde das pessoas afetadas e o posicionamento e status das equipes médicas seriam informações úteis e essenciais para definição das medidas a serem tomadas; no caso de uma catástrofe ambiental, informação sobre os locais de risco, identificação das condições ambientais e posicionamento e status das equipes de resgate determinariam os passos necessários para uma atuação efetiva.