Go!SIP: Um Framework de Privacidade para Cidades Inteligentes Baseado em Pessoas Como Sensores

Welington Manoel da Silva
GO!SIP: UM FRAMEWORK DE PRIVACIDADE PARA CIDADES

INTELIGENTES BASEADO EM PESSOAS COMO SENSORES
Dissertao de Mestrado
Universidade Federal de Pernambuco

posgraduacao@cin.ufpe.br
www.cin.ufpe.br/~posgraduacao
RECIFE
2014
Universidade Federal de Pernambuco

Centro de Informtica
Ps-graduao em Cincia da Computao
Welington Manoel da Silva
GO!SIP: UM FRAMEWORK DE PRIVACIDADE PARA CIDADES

INTELIGENTES BASEADO EM PESSOAS COMO SENSORES
Trabalho apresentado ao Programa de Ps-graduao em

Cincia da Computao do Centro de Informtica da Universidade Federal de Pernambuco como requisito parcial para
obteno do grau de Mestre em Cincia da Computao.
Orientador: Prof. Dr. Vinicius Cardoso Garcia

Co-Orientador: Prof. Dr. Alexandre Alvaro
RECIFE
2014
Catalogao na fonte
Bibliotecria Jane Souto Maior, CRB4-571
S586g Silva, Welington Manoel da

Go!SIP: um framework de privacidade para cidades
inteligentes baseado em pessoas como sensores / Welington
Manoel da Silva Recife: O Autor, 2014.
159 f.: il., fig., tab.
Orientador: Vinicius Cardoso Garcia.
Dissertao (Mestrado) Universidade
Pernambuco. CIn, Cincia da Computao, 2014.
Inclui referncias.
Federal
1. Engenharia de software. 2. Privacidade. I. Garcia, Vinicius

Cardoso. (orientador). II. Ttulo.
005.1
CDD (23. ed.)
UFPE- MEI 2015-13
de
Dissertao de Mestrado apresentada por Welington Manoel da Silva PsGraduao em Cincia da Computao do Centro de Informtica da Universidade
Federal de Pernambuco, sob o ttulo Go!SIP: Um Framework de Privacidade
para Cidades Inteligentes Baseado em Pessoas Como Sensores' orientada pelo
Prof. Vinicius Cardoso Garcia e aprovada pela Banca Examinadora formada pelos
professores:
______________________________________________
Prof. Kiev Santos da Gama
Centro de Informtica/UFPE
______________________________________________
Prof. Fabrcio Benevenuto de Souza
Departamento de Cincia da Computao/ UFMG
_______________________________________________
Prof. Vinicius Cardoso Garcia
Centro de Informtica /UFPE
Visto e permitida a impresso.

Recife, 25 de agosto de 2014.
___________________________________________________
Profa. Edna Natividade da Silva Barros
Coordenadora da Ps-Graduao em Cincia da Computao do
Centro de Informtica da Universidade Federal de Pernambuco.
Deus.
minha famlia.
Dedico.
Agradecimentos
Em primeiro lugar, gostaria de agradecer a Deus, que tem sido o meu refgio e incondicional amigo. (. . . ) It would take all day to tell You how I thank You". Foram tantas as
dificuldades e oportunidades durante esta etapa, que me fazem ter a certeza de que eu nunca teria
chegado aqui sem Teu auxlio.
minha famlia, por entender as madrugadas em claro, churrascos e passeios que no
pude ir e, apesar das dificuldades, obrigado por acreditar em mim e em meu potencial. Aos meus
pais, Jos Aparecido e Sandra, em especial, obrigado pelos sacrifcios e pelas oraes; no h
nada que eu possa fazer para retribuir o que fizeram por mim. s minhas irms, Renata e Noemi,
obrigado por cuidarem de mim e pela compreenso nos dias em que a luz teve que ficar acesa at
de madrugada; lembrem-se que d pra ir mais longe, sempre.
Letcia, minha namorada e revisora, que me apoiou desde o incio, mesmo com a
dificuldade da distncia e a ausncia, obrigado por ser paciente, por compartilhar, por ouvir,
cuidar, ajudar e me fazer olhar para cima e frente, quando tudo o que eu queria era desistir.
Ao meu amigo e irmo de corao, Gustavo Henrique Rodrigues Pinto Tomas, brow,
a fase Recife deste mestrado ficou bem mais engraada e suportvel com nossas trapalhadas.
Neste tempo de amizade e parceria eu aprendi com voc lies que levarei para a vida toda; seu
foco e obstinao em vencer este desafio foram realmente muito inspiradores. Obrigado pelas
discusses, crticas, feedbacks, tanto a nvel pessoal, profissional e acadmico e, uma vez mais,
obrigado por botar a mo na massa e me ajudar no desenvolvimento da aplicao.
Ao meu orientador Vinicius Garcia, obrigado por aceitar o desafio do trabalho distncia.
A liberdade que me permitiu, desde o momento de escolha do tema, no desenvolvimento e
direcionamento da proposta, aliada confiana transmitida e os eventuais empurrezinhos
me proporcionaram um grande aprendizado. O fato de concordar em explorar um assunto,
absolutamente novo e complexo, demonstra maturidade e entusiasmo, elementos fundamentais
para resgatar, na academia, o apreo pela pesquisa que tem impacto prtico na vida das pessoas.
Ao meu coorientador Alexandre Alvaro, por apresentar a oportunidade e compartilhar
sua experincia. Aquela conversa descontrada que tivemos, assim que o projeto de mestrado
foi aprovado, foi uma verdadeira injeo de encorajamento. Obrigado pela disponibilidade em
propor/discutir/questionar as ideias e sempre propor um mas, e se. . . ; isso, sem dvida, me
estimulou a ir um tanto mais longe do que eu imaginava que conseguia.
Aos meus amigos do Elyon Music e do Grupo Elyon, o tempo que passei com vocs me
ajudou a no perder a sanidade.
Ao Centro de Estudos e Sistemas Avanados do Recife, obrigado pela credibilidade e
apoio no desenvolvimento desse mestrado.
Finalmente, obrigado a todos que, de alguma forma, colaboraram com este trabalho.
Para ser grande, s inteiro: nada

Teu exagera ou exclui
S todo em cada coisa. Pe quanto s
No mnimo que fazes.
Assim em cada lago a lua toda
Brilha, porque alta vive.
RICARDO REIS (Fernando Pessoa)
Resumo
O crescimento desenfreado da populao nos centros urbanos afeta diretamente a proviso
de servios concebidos para suprir s necessidades dos cidados. Com isso, academia e na
indstria discutem que, grande parte das cidades, no contam com servios bsicos (como
transporte, energia eltrica, gua, saneamento bsico, sade pblica, educao, segurana
pblica, etc.) devidamente preparados para suportar tamanho crescimento, nem mesmo possuem
a infraestrutura necessria para gerenciar suas consequncias.
Neste cenrio se estabelece o conceito de Cidades Inteligentes, empregando Tecnologias
de Informao e Comunicao (TICs) para solucionar ou minimizar problemas no mbito urbano
ligados proviso de servios, processando dados coletados de entidades imersas neste contexto,
a fim de que se entenda a dinmica de funcionamento da cidade, permitindo compreender os
problemas, identificar falhas, propor e implementar solues e melhorias, adequadas sua
realidade, visando melhorar a qualidade de vida dos cidados.
Dentre os dados coletados para o propsito citado, vindo de sensores instalados no
ambiente, de dispositivos mveis, etc., existe uma quantidade significativa de dados pessoais,
que podem ser analisados e combinados - divergindo do objetivo inicial - gerando situaes que
comprometam a privacidade individual. Com as informaes geradas a partir deste processo,
organizaes privadas e pblicas podem beneficiar-se, explorando as necessidades dos indivduos
monitorados ao deter mais informao e conhecimento sobre o indivduo do que ele prprio.
Este panorama reflete a forma como nossos dados so predominantemente tratados atualmente,
configurando um paradigma centrado em dados, no qual o indivduo, seus direitos e preferncias
so mantidos em segundo plano.
Considerando esse contexto, este trabalho realiza um estudo sobre propostas de privacidade para diversos domnios inteligentes, entendidos como peas essenciais na composio de
Cidades Inteligente, extraindo os requisitos abordados por esses trabalhos, utis na construo
do Go!SIP, um framework de privacidade para Pessoas como Sensores.
A implementao dos requisitos selecionados para avaliao fundamentou-se em uma
abordagem quantitativa, baseada na hiptese de que essa abordagem facilita a compreenso do
indivduo, deixando-o ciente dos riscos, e menos propenso a expor seus dados pessoais. Para
execuo da avaliao utilizou-se o formato de Estudo de Caso, atravs de storytelling e um
gamebook interativo, simulando diferentes cenrios de exposio de dados em um ambiente
urbano. A abordagem quantitativa de implementao dos requisitos mostrou-se favorvel
hiptese inicial, repelindo os usurios das situaes que requeriam exposio de suas informaes
pessoais, demonstrando, dentro das restries estabelecidas, o potencial da proposta.
Palavras-chave: Cidades Inteligentes. Privacidade. Framework. Pessoas como Sensores.
Abstract
The unbridled population growth in urban centers affects directly the provision of services
designed to meet the needs of citizens. Therefore, academy and industry discuss that most cities
do not have basic services (such as transportation, electricity, water, sanitation, public health,
education, public safety, etc.) adequately prepared to support such growth or even have the
necessary infrastructure to manage its consequences.
It is within this scenario that it is established the concept of Smart Cities, in which
Information and Communication Technologies (ICTs) are employed to solve or minimize
problems in urban areas, related to the provision of services, processing data collected from
entities immersed in such context in order to understand the dynamics of the city, allowing to
understand the problems, identify gaps, propose and implement solutions and improvements,
suitable to its reality, aiming to improve the quality of life of citizens.
Among the data collected for the mentioned purpose, originated from sensors installed in
the environment, mobile devices, the Internet itself, etc., there is a significant amount of personal
data, that can be analyzed and combined - diverging from the original goal - creating situations
that compromise individual privacy. With the information generated from this process, private
and public organizations might benefit by exploring the needs of individuals monitored, since they
have more information and knowledge about the individual than himself. This scenario reflects
the way our data are predominantly handled currently by setting up a data-centric paradigm, in
which the individual, his rights and preferences are kept in background.
Considering this context, this work performs a study on privacy proposals for several
smart domains , seen as essential parts in the composition of a Smart City, extracting the
requirements addressed by these works, useful for building Go!SIP, a privacy framework for
People as Sensors.
The implementation of the selected requirements for the evaluation process was based on
a quantitative approach, based on the hypothesis that it facilitates the understanding of individual,
making him aware of the risks, and less prone to expose his personal data. For conducting the
evaluation a case study was applied, using storytelling and an interactive gamebook, simulating
different scenarios of data exposure in an urban environment. The quantitative implementation of
the requirements was favorable to the initial hypothesis, repelling users of situations that required
exposure of their personal information, demonstrating, within the established constraints, the
potential of the proposal.
Keywords: Smart Cities. Privacy. Framework. People as Sensors.
Lista de Figuras
5.1
Diagrama dos Nveis de Implementao de Privacidade que compe o Go!SIP .
6.1
6.2
6.3
6.4
Exemplo da tela do Go!SIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

Heat map da histria utilizada no Estudo de Caso . . . . . . . . . . . . . . . . 102
ndice de Proteo Individual (IPI) Mdio por perfil, para participantes com
acesso s mtricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
IPI Mdio por perfil, para participantes sem acesso s mtricas . . . . . . . . . 103
B.1
B.2
B.3
B.4
B.5
B.6
B.7
B.8
B.9
B.10
B.11
B.12
B.13
B.14
B.15
B.16
B.17
B.18
B.19
B.20
Formulrio de Dados Pessoais . . . . . . . . . . . .

Formulrio de Dados Financeiros (Fictcios) . . . . .
Formulrio de Dados de Consumo (Fictcios) . . . .
Formulrio de Dados de Localizao (Fictcios) . . .
Formulrio de Dados Mdicos (Fictcios) . . . . . .
Formulrio de Dados de Relacionamento . . . . . . .
Formulrio de Servio eGov . . . . . . . . . . . . .
Imagem da tela de problema de sade . . . . . . . .
Servio de Localizao, Gugou Maps . . . . . . . .
Aplicao de Localizao, Gugou Maps . . . . . . .
Servio Rede Social, Fakebook . . . . . . . . . . . .
Aplicao Rede Social, Fakebook . . . . . . . . . .
Servio Rede Social, Twistter . . . . . . . . . . . . .
Aplicao Rede Social, Twistter . . . . . . . . . . .
Aplicao check-in . . . . . . . . . . . . . . . . . .
Servio de Medio de Energia Eltrica Inteligente .
Aplicao de Medio de Energia Eltrica Inteligente
Servio de Monitoramento de Estado de Sade . . .
Servio Atendimento Emergencial . . . . . . . . . .
Aplicao de Monitoramento de Estado de Sade . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
76
126
127
128
129
130
131
141
147
150
151
152
153
154
155
155
156
157
157
158
159
Lista de Tabelas
2.1
Mapeamento Requisitos-Trabalhos
. . . . . . . . . . . . . . . . . . . . . . .
28
4.1
4.2
4.3
Quantidade de trabalhos retornados por biblioteca digital . . . . . . . . . . . .

Filtros aplicados no processo de reviso . . . . . . . . . . . . . . . . . . . . .
Uso de requisitos de privacidade em Smart X por domnio estudado . . . . . .
54
55
67
5.1
5.2
Classificao do requisitos de acordo com os paradigmas PCD, PCU e PCS . .

Domnios estudados e seu paradigma predominante . . . . . . . . . . . . . . .
75
78
6.1
6.2
6.3
6.4
6.5
Impacto dos Servios no score do participante . . . . . . . . . . . . . . . . . . 96

Impacto dos Passos no score do participante . . . . . . . . . . . . . . . . . . . 96
Desistncia nos passos da histria . . . . . . . . . . . . . . . . . . . . . . . . 98
Aquisio de servios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
ndice de Exposio (IE) mdio por perfil, para participantes sem acesso s
mtricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
A.1 Motores e termos de busca utilizados na Questo de Pesquisa 1 . . . . . . . . . 122

A.2 Motores e termos de busca utilizados na Questo de Pesquisa 2 . . . . . . . . . 123
A.3 Data de execuo das buscas . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Lista de Acrnimos
API
Application Programming Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
BD
Big Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
CI
Cidade Inteligente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
CD
Cidade Digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
CE
Comisso Europia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
DPD
European Union Data Protection Data Protection Directive 95/46 . . . . . . . . . . . 43
GPS
Global Positioning System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
IPI
ndice de Proteo Individual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
IE
ndice de Exposio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
IoT
Internet das Coisas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
IPI
ndice de Proteo Individual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
M2M
Machine to Machine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
NPV
Nvel de Proposio de Valor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
ONU
Organizao das Naes Unidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
PCD
Paradigma Centrado no Dado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
PCU
Paradigma Centrado no Usurio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
PCS
Paradigma Centrado no Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
PS
Provedor de Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
TIC
Tecnologia de Informao e Comunicao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Sumrio
1
Introduo
1.1 Motivao . . . . . . . .
1.2 Objetivos . . . . . . . .
1.3 Escopo Negativo . . . .
1.4 Principais Contribuies
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Fundamentao Terica
2.1 Cidades Inteligentes . . . . . . . . . . . . . . . . . . . . . .
2.1.1 Requisitos para Cidades Inteligentes: Um Overview .
2.1.2 Consideraes . . . . . . . . . . . . . . . . . . . .
2.2 Privacidade . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3 Direcionamento . . . . . . . . . . . . . . . . . . . . . . . .
Pessoas Como Sensores em
Cidades Inteligentes
3.1 Pessoas Como Sensores . . . . . . . . . .
3.2 A Problemtica . . . . . . . . . . . . . .
3.3 Pessoas Como Sensores, Leis e Big Data .
3.4 Privacidade Para Pessoas Como Sensores
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Mecanismos de Privacidade em Smart X

4.1 Reviso Sistemtica . . . . . . . . . . . . . . . . .
4.1.1 Metodologia . . . . . . . . . . . . . . . .
4.1.1.1 Processo de Busca . . . . . . . .
4.1.1.2 Processo de Seleo . . . . . . .
4.2 Mecanismos de privacidade propostos para Smart X
4.2.1 Smart Grids (SG) . . . . . . . . . . . . . .
4.2.2 Smart Buildings e Homes (SBH) . . . . . .
4.2.3 Smart Environment (SE) . . . . . . . . . .
4.2.4 Smart Spaces (SS) . . . . . . . . . . . . .
4.2.5 Smart Health (SH) . . . . . . . . . . . . .
4.2.6 Outros domnios e Abordagens (OD) . . .
4.3 Requisitos Comuns . . . . . . . . . . . . . . . . .
4.4 Resultados da Reviso . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
16
17
21
22
23
.
.
.
.
.
25
25
27
30
31
33
.
.
.
.
34
36
40
43
47
.
.
.
.
.
.
.
.
.
.
.
.
.
51
53
53
53
54
56
56
58
60
62
65
65
67
70
Go!SIP, O Framework
5.1 Descrio do Go!SIP . . . . . . . . . . . . . . . . . . . . .
5.1.1 Classificao Baseada em Paradigmas . . . . . . . .
5.1.1.1 Paradigma Centrado no Dado (PCD) . . .
5.1.1.2 Paradigma Centrado no Usurio (PCU) . .
5.1.1.3 Paradigma Centrado no Servio (PCS) . .
5.1.2 Classificao dos Requisitos . . . . . . . . . . . . .
5.2 Consideraes e Aplicao do Go!SIP . . . . . . . . . . . .
5.3 Convergncia de Paradigmas: Uma Abordagem Quantitativa
5.3.1 Definies preliminares . . . . . . . . . . . . . . .
5.3.2 Clculo de Exposio . . . . . . . . . . . . . . . . .
5.3.2.1 ndice de Proteo Individual . . . . . . .
5.3.2.2 Clculo de Preciso do Atributo . . . . . .
5.3.2.3 ndice de Exposio . . . . . . . . . . . .
5.3.3 Clculo de Similaridade . . . . . . . . . . . . . . .
5.4 Rumo Avaliao . . . . . . . . . . . . . . . . . . . . . . .
Avaliao do Framework
6.1 Uma Viso Geral Sobre Estudos de Caso . .
6.2 Escopo da Avaliao . . . . . . . . . . . .
6.3 Metodologia . . . . . . . . . . . . . . . . .
6.3.1 Storytelling . . . . . . . . . . . . .
6.3.2 Gamebooks . . . . . . . . . . . . .
6.3.3 Por Que Storytelling e Gamebook? .
6.4 Execuo da Avaliao . . . . . . . . . . .
6.4.1 A Criao da Histria . . . . . . . .
6.4.2 Ferramentas . . . . . . . . . . . . .
6.4.3 Perfil de Participao . . . . . . . .
6.4.4 Desenvolvimento . . . . . . . . . .
6.5 Resultados . . . . . . . . . . . . . . . . . .
6.6 Ameaas avaliao . . . . . . . . . . . .
Concluso
7.1 Principais Concluses .
7.2 Trabalhos Relacionados
7.3 Trabalhos Futuros . . .
7.4 Consideraes Finais .
Referncias
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
72
74
74
74
74
74
74
78
80
80
80
81
81
82
82
84
.
.
.
.
.
.
.
.
.
.
.
.
.
85
86
87
88
88
89
89
91
91
92
92
92
98
104
.
.
.
.
105
107
108
110
111
112
Apndice
121
A Reviso Sistemtica
122
B Go!SIP, a histria
B.1 Enredo . . . . . . .
B.1.1 (Passo 0) .
B.1.2 (Passo 1) .
B.1.3 (Passo 2a) .
B.1.4 (Passo 2b) .
B.1.5 (Passo 2c) .
B.1.6 (Passo 3) .
B.1.7 (Passo 4a) .
B.1.8 (Passo 4b) .
B.1.9 (Passo 4c) .
B.1.10 (Passo 5a) .
B.1.11 (Passo 5b) .
B.1.12 (Passo 5c) .
B.1.13 (Passo 5d) .
B.1.14 (Passo 5e) .
B.1.15 (Passo 6b) .
B.1.16 (Passo 6c) .
B.1.17 (Passo 6d) .
B.1.18 (Passo 6e) .
B.1.19 (Passo 7a) .
B.1.20 (Passo 7b) .
B.1.21 (Passo 7c) .
B.1.22 (Passo 7d) .
B.1.23 (Passo 8a) .
B.1.24 (Passo 8b) .
B.1.25 (Passo 8c) .
B.1.26 (Passo 9a) .
B.1.27 (Passo 9b) .
B.1.28 (Passo 9c) .
B.1.29 (Passo 9d) .
B.1.30 (Passo 10a)
B.1.31 (Passo 11a)
B.1.32 (Passo 11b)
B.1.33 (Passo 11c)
B.1.34 (Passo 11d)
124
124
124
125
125
125
126
127
130
133
133
134
134
134
134
136
137
137
137
138
138
138
138
139
139
139
140
140
140
141
143
143
144
145
145
145
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
15
B.1.35 (Passo 12a) . . . . . . . . . . . .
B.1.36 (Passo 13a) . . . . . . . . . . . .
B.1.37 (Passo 13b) . . . . . . . . . . . .
B.1.38 (Passo 13c) . . . . . . . . . . . .
B.1.39 (Passo 14a) . . . . . . . . . . . .
B.1.40 (Passo 14b) . . . . . . . . . . . .
B.2 Servios e Aplicaes . . . . . . . . . . .
B.2.1 Gugou Maps . . . . . . . . . . .
B.2.2 Fakebook . . . . . . . . . . . . .
B.2.3 Twistter . . . . . . . . . . . . . .
B.2.4 Check-in . . . . . . . . . . . . .
B.2.5 Smart Meter . . . . . . . . . . .
B.2.6 Health Monitor e Health Assist .
B.3 Subrotinas . . . . . . . . . . . . . . . . .
B.3.1 Navegao . . . . . . . . . . . .
B.3.1.1 Navegao com Chuva
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
145
147
147
148
148
149
150
150
150
151
152
152
153
153
153
154
16
1
Introduo
What was once private is now public,
what was once hard to copy, is now trivial to duplicate,
what was once easily forgotten, is now stored forever.
RON RIVEST (Reversal of defaults)
1.1. MOTIVAO
1.1
17
Motivao
A populao do planeta est gradativamente deslocando-se para reas urbanas. De acordo

com relatrios da Organizao das Naes Unidas (ONU) e do Banco Mundial, em 1950, cerca
de 30% da populao mundial vivia em reas urbanas; desde ento, este nmero quase duplicou
at 2014, aumentando para 54%, com a estimativa de atingir 66%, em meados de 2050 (United
Nations, 2007, 2011; The World Bank, 2013; United Nations, 2014).
Tamanho crescimento desenfreado traz consigo diversos problemas, no que diz respeito
proviso de servios urbanos. Entende-se por servio urbano qualquer ao direcionada
a suprir necessidades bsicas dos cidados, tais como eletricidade, gua potvel, transporte
pblico, segurana, sade, educao, saneamento bsico, tratamento de resduos slidos, etc.
A disponibilidade e efetividade destes servios asseguram aos cidados uma qualidade de vida
digna, reforando a concretizao dos artigos 21, 22 e 25 da Declarao Universal dos Direitos
Humanos (Assembly, 1948).
O principal motivo para tamanho crescimento da populao urbana mundial que, por
natureza, as cidades geralmente oferecem maiores oportunidades de acesso aos servios pblicos
citados, para perfis de famlias de diferentes realidades econmicas; alm disso, nas cidades
que se espera encontrar um mercado de trabalho mais amplo e melhores condies de vida.
Entretanto, para que essas expectativas sejam materializadas, o Departamento de Assuntos Econmicos e Sociais da ONU (United Nations, 2014) aponta que se faz necessrio uma
abordagem de planejamento e gerenciamento, na qual os servios urbanos sejam providos de
forma igualitria e eficaz, sustentados por um conjunto vasto de informaes sobre a cidade,
de onde se possa extrair as necessidades a serem supridas, falhas em processos urbanos, quais
medidas podem ser tomadas, bem como as evidncias dos resultados das aes estabelecidas.
A grande dificuldade que se apresenta que a grande parte das cidades - principalmente de
pases subdesenvolvidos ou emergentes - no est devidamente preparada para suportar tamanho
crescimento, nem mesmo possui a infraestrutura necessria para gerenciar suas consequncias
(Walravens, 2011).
neste cenrio que se estabelece o conceito de Cidade Inteligente (CI) (ou, em ingls,
Smart City). Apesar das diversas definies, consenso afirmar que uma CI emprega tecnologia
para solucionar problemas no mbito urbano.
No aspecto humano e social, uma CI implica em melhorias no cotidiano dos cidados,
com medidas implementadas ou suportadas por aparatos tecnolgicos, promovendo acesso aos
servios urbanos (Anthopoulos and Fitsilis, 2010).
No aspecto tcnico, smart refere-se conectividade onipresente, atravs de uma infraestrutura sofisticada de informao e comunicao, permitindo otimizao no uso de recursos
finitos, materializando princpios como capacidade de adaptao s variveis do contexto urbano,
recuperao em situaes de falha, segurana contra investidas mal intencionadas e otimizao
- solues de problemas urbanos mais efetivas, melhor aproveitamento no uso de recursos e
1.1. MOTIVAO
18
maximizao de resultados - na gesto de uma cidade, conforme discutido em (Nam and Pardo,
2011; Bowerman et al., 2000); estas tecnologias devem ser adaptadas ao ambiente urbano,
criando-se um contexto adequado participao fsica e virtual dos cidados, num processo de
planejamento e gerenciamento das partes para o todo, ao contrrio do que feito atualmente
(Chillon, 2012).
De uma forma mais granular, uma cidade inteligente quando utiliza Tecnologias de
Informao e Comunicao (TICs) de forma apropriada para prover servios a comunidade permitindo participao democrtica e estimulando o engajamento - melhorando a qualidade
de vida, enquanto cria um ambiente mais sustentvel, com investimentos de ordem social e
infraestrutura moderna de comunicao, encorajando o desenvolvimento econmico atravs de
uma gesto integrada e eficiente (Nam and Pardo, 2011; Andreini et al., 2011; Asimakopoulou
and Bessis, 2011). Neste contexto, os cidados teriam acesso a uma variedade de tecnologias e
servios avanados, usando qualquer dispositivo, em qualquer lugar e a qualquer hora (Andreini
et al., 2011; Chillon, 2012).
O assunto CI ganhou relevncia nos ltimos anos como soluo para a crescente demanda
de servios urbanos. Aliado ao crescimento sustentvel, espera-se que o uso de TICs supra
eficientemente tanto objetivos tecnolgicos quanto de negcios (Walravens, 2011). Porm,
mais que integrao de sistemas, criao de infraestrutura ou implementao de servios, o
aspecto tecnolgico assume papel de facilitador na criao de um ambiente de inovao, que
requer criatividade, conectividade e colaborao; o aspecto social possui vital importncia, tanto
quanto (ou mais que) o tecnolgico, exigindo a compreenso da complexidade nas relaes
scio-tecnolgicas do ecossistema urbano (Nam and Pardo, 2011).
Para que o conceito seja colocado em prtica, necessrio entender a dinmica de
funcionamento de cada cidade e, para tal, a coleta de dados uma forma promissora que se
apresenta, permitindo compreender os problemas, identificar falhas e propor melhorias e novas
solues para proviso de servios, como sugerido em (United Nations, 2014).
Com o propsito de gerar informaes, que por sua vez favoream a sustentao de
negcios, uma quantidade sem precedente de dados precisa ser coletada atravs de dispositivos,
pessoas e sensores conectados, gerados a partir de inmeras transaes por dia. Esses dados
podem ser coletados de forma ativa, nos modos tradicionais (como o preenchimento de formulrios, questionrios, etc.), ou ainda de forma passiva, como subproduto de outras atividades
ou por transaes Machine to Machine (M2M)1 , sem ser necessariamente consentido - como
a prpria navegao na Internet, informaes de localizao obtidas a partir de dispositivos
mveis (a exemplo do que foi noticiado em (Diallo, 2013)) ou imagens capturadas por camras
de vigilncia (como colocado em evidncia em (Sentupta, 2013; Stone, 2013; Diallo, 2013;
Pincus, 2013)).
Disperso no meio dos dados coletados existe uma quantidade significativa de dados
pessoais, que podem ser analisados e combinados gerando ainda mais dados. Essa forma de
1A
comunicao M2M caracterizada pela troca de infomaes entre dispositivos sem interveo humana.
1.1. MOTIVAO
19
atuao se iguala em consequncia coleta passiva de dados, na qual o indivduo exposto sem
conhecimento ou consentimento (of Communications, 2012; Forum, 2013; Tene and Polonetsky,
2012). O advento de Big Data (BD) (Chui et al., 2011; Rubinstein, 2013), que implica na
consolidao do gerenciamento dessas grandes massas de dados, agrava o comprometimento da
privacidade.
Em Rubinstein (2013), fala-se sobre trs dimenses que definem BD: i) disponibilidade
de dados em grande escala, coletados no somente a partir de transaes online, mas atravs
do uso de dispositivos mveis (atravs de sensores embarcados ou de aplicaes que permitam
compartilhamento de dados), interaes com ambientes inteligentes (construdos atravs da
Internet das Coisas) (Atzori et al., 2010) e a Web 2.0, que permite a criao e compartilhamento
voluntrios de dados pessoais e correlatos; ii) aumento na capacidade de armazenamento e
processamento dos computadores modernos, que viabiliza o modelo de computao em nuvem
e; iii) uso da capacidade computacional para armazenar e processar uma quantidade gigantesca
de dados.
As caractersticas citadas acentuam a vulnerabilidade inerente aos dados pessoais dispersos na referida massa de dados, quer sejam em sua forma primitiva (dado bruto) ou derivada
(gerada a partir de algum tipo de anlise), e levantam diversos questionamentos quando se discute
a regulamentao de uma lei de proteo aos dados, principalmente no que tange a distino
entre dados pessoais e no pessoais e validade das leis sobre os dados gerados a partir de
anlise e minerao de dados.
Em contrapartida, Tene e Polonetsky (Tene and Polonetsky, 2012) discutem a necessidade
de alinhar a evoluo tecnolgica e as realidades de negcio com os princpios de minimizao
de dados e limitao no propsito de uso desses dados. Porm, esses princpios so divergentes
quando trata-se de BD, onde se prev maximizao de dados (quanto mais dados para analisar,
mais refinados e precisos sero os resultados) e a descoberta de correlaes no aparentes e/ou
esperadas.
Alm disso, um dos problemas imediatos de BD o seu efeito incremental. Naturalmente,
quanto maior o acmulo de dados pessoais, mais comprometida a privacidade. A literatura
mostra que, mesmo quando as grandes corporaes tentam minimizar o impacto de suas aes
com algoritmos de deidentificao2 , possvel executar o processo reverso e associar novamente
os dados aos respectivos indivduos (Narayanan and Shmatikov, 2008; Ohm, 2010). Ademais,
uma vez o dado exposto, torna-se praticamente impossvel recuper-lo e mant-lo novamente em
segredo.
Outro problema o desequilbrio entre os benefcios de governos e corporaes e dos
indviduos monitorados. Primeiro, porque geralmente servios online so oferecidos em forma
de barganha: voc cede seus dados e recebe em troca um servio gratuito; neste cenrio, assim
como num jogo em que um jogador sabe de antemo as cartas do outro, governos e corporaes
2 Processo
pertencem.
de reverso da anonimizao aplicada ao dado, tirando quaisquer referncias ao indivduo a quem
1.1. MOTIVAO
20
tm em mos mais informaes sobre o indivduo do que ele possui sobre si mesmo, facilitando
a explorao de suas necessidades, gerando vantagens unilaterais (Tene and Polonetsky, 2012);
segundo, o segredo de negcio das grandes corporaes, ao invs de focado numa relao
equilibrada de proposio de valor, restringe-se a dados que somente elas tem posse, coletados,
utilizados e mantidos em condies alheias ao conhecimento pblico.
Este panorama reflete a forma como nossos dados so tratados, no qual o indivduo, seus
direitos e suas preferncias so mantidos em segundo plano.
A proposta a ser descrita neste trabalho vai em direo semelhante aos princpios estabelecidos em (Reding, 2012) e em (Computer Security Division, 2013) e apresenta o Go!SIP, um
framework para proteo de dados pessoais em CI, no qual se extrapola o uso do dado por si s e
permite-se o fluxo de conhecimento til sobre a cidade e seus habitantes, em um processo de
colaborao mtua, fomentado pelo consenso e deciso informados, possibilitando a manuteno
da privacidade de dados pessoais.
1.2. OBJETIVOS
1.2
21
Objetivos
Frente motivao apresentada, este trabalho possui os seguinte objetivos gerais:
Investigar mecanismos de proviso de privacidade propostos em diferentes contextos

inteligentes (que essencialmente compe o que chamamos de Cidades Inteligentes);
Elencar um conjunto de requisitos comuns que sejam adequados ao paradigma de
interesse para este trabalho, o paradigma centrado no indivduo;
Conceber mtricas quantitavas para representao dos requisitos de privacidade
levantados;
Identificar o impacto das mtricas quantitativas concebidas na deciso de exposio
de dados pessoais.
Finalmente, como objetivo especfico, este trabalho visa, em linhas gerais:

Propor um framework para proviso de privacidade em Cidades Inteligentes, contemplando o conjunto de requisitos levantados, dentro do paradigma centrado no
indivduo, priorizando direitos e preferncias do usurio, permitindo-o tirar maior
proveito do trade-off entre proposio de valor e exposio de dados pessoais, para
os servios consumidos.
1.3. ESCOPO NEGATIVO
1.3
22
Escopo Negativo
O contexto de CI bastante amplo e complexo, bem como o problema da proviso de

privacidade que se pretende abordar.
Apesar dos requisitos elencados como sendo recomendveis para uma soluo de privacidade em CI, possvel que, por falha humana ou publicao posterior data que foi realizado o
levantamento de trabalhos relacionados, alguma proposta com impacto significativo tenha ficado
de fora.
Os seguintes aspectos no fazem parte deste do escopo tratado neste trabalho:
Mecanismos de segurana da informao: Este aspecto, implementado atravs de hardware,
protocolos, algoritmos de criptografia, etc., no faz parte desta proposta. A prpria
segurana da informao um conceito a parte de privacidade, j que possvel manter
mtodos e procedimentos seguros de acesso a informao e, ainda assim, violar o direito
de privacidade de algum. A inteno aqui estabelecer um conjunto de guias no nvel
provedor/consumidor de servios, do ponto de vista do usurio, j que a proposta tem
como fundamento o paradigma centrado no indivduo.
Descrio formal de servios: O conceito de servios e suas polticas tratado neste trabalho
bem superficial e no apresenta nenhum formalismo semntico de descrio da natureza
do servio ou mesmo operaes feitas entre eles, como comparao (similaridade), determinao de reputao etc., por tratar-se de um assunto ortogonal, que no o foco deste
trabalho.
1.4. PRINCIPAIS CONTRIBUIES
1.4
23
Principais Contribuies
Como resultado do trabalho apresentado nesta dissertao, pode-se destacar as seguintes

contribuies:
Estado da arte de privacidade em domnios inteligentes: Para a construo da

anlise, este trabalho realiza uma extensiva pesquisa e anlise de proposta de solues
de privacidade para ambientes inteligentes, entendendo-se que tais ambientes compe
uma CI;
Requisitos de privacidade para domnios inteligentes: Como resultado da reviso
sobre privacidade em ambientes inteligentes, este trabalho levanta um conjunto de
requisitos comuns de privacidade, recomendveis para solues propostas para o
contexto de cidades inteligentes;
Definio dos paradigmas de implementao de privacidade: Distino dos trs
paradigmas de implementao de privacidade encontrados na literatura: centrado em
dados, centrado no indivduo e centrado no servio;
Privacidade a longo prazo Este trabalho prope uma discusso de privacidade que
difere dos demais encontrados na literatura - em que privacidade vista como um
acontecimento imediato e episdico - dando-lhe um carter mais urgente, sob uma
viso a longo prazo;
Mtricas de auxlio deciso de exposio: So apresentados trs ndices, a saber:
Clculo de Preciso de dados, ndice de Sensibilidade de dados e ndice de Similaridade entre provedores de servios, que servem de apoio ao indivduo no momento da
deciso de exposio de seus dados;
Framework de privacidade para Cidades Inteligentes: Framework conceitual de
privacidade, contemplando os requisitos vistos como essenciais dentro do paradigma
de implementao de privacidade centrada no indivduo;
Conduo de avaliao baseada em storytelling: Os mtodos tradicionais de avaliao encontrados na literatura, ou tinham envolvimento de aspectos de baixo nvel, ou
descreviam um processo no adequado proposta, por priorizar o dado, ao invs do
indivduo. Com isso, buscou-se uma forma de estimular o engajamento dos usurios
atravs de um mtodo ldico e dinmico, isolando-o das preocupaes da vida real.
Alm das contribuies citadas acima, seguem as publicaes geradas ao longo da

elaborao e execuo deste trabalho:
1.4. PRINCIPAIS CONTRIBUIES

24
SILVA, W. M.; ALVARO, A.; TOMAS, G. H. R. P.; AFONSO, R. A.; DIAS, K.

L.; GARCIA, V. C.. Smart Cities Software Architectures: A Survey. In: the 28th
Annual ACM Symposium, 2013, Coimbra. Proceedings of the 28th Annual ACM
Symposium on Applied Computing - SAC 13. New York: ACM Press, 2013. p.
1722.
SILVA, W. M.; TOMAS, G.H.R.P; GARCIA, V. C.; ALVARO, A.. Synaptic City:
An architectural approach using an OSGI Infrastructure and GMaps API to build a
City Simulator. In: The 15th International Conference on Enterprise Information
Systems (ICEIS), 2013, Anger. Proceedings of the 15th International Conference on
Enterprise Information Systems (ICEIS), 2013.
TOMAS, G.H.R.P; SILVA, W. M.; GARCIA, V. C.; ALVARO, A.. Smart Cities
Architectures: A Systematic Review. In: The 15th International Conference on
Enterprise Information Systems (ICEIS), 2013, Anger. Proceedings of the 15th
International Conference on Enterprise Information Systems (ICEIS), 2013.
AFONSO, R. A.; GARCIA, V. C.; ALVARO, A.; TOMAS, G.H.R.P ; SILVA, W.
M.. Br-SCMM: Modelo Brasileiro de Maturidade para Cidades Inteligentes. In: IX
Simpsio Brasileiro de Sistemas de Informao (SBSI), 2013, Joo Pessoa. Anais do
IX Simpsio Brasileiro de Sistemas de Informao (SBSI), Trilha Especial - SI e os
Desafios do Mundo Aberto, 2013.
25
2
Fundamentao Terica
Do not go where the path may lead you,
Go instead where there is no path and leave a trail.
RALPH WALDO EMERSON
2.1
Os aglomerados humanos que hoje conhecemos como cidades surgiram quando os

antigos caadores nmades aprenderam as primeiras tcnicas agrcolas. Com os alimentos
excedentes que essas tcnicas propiciavam, no era mais necessrio que todos plantassem,
surgindo a possibilidade de comercializao tanto de alimentos, quanto de ferramentas e outros
bens. Com a necessidade de mo de obra para sustentar o comrcio, algumas pessoas partiram
do campo para esses aglomerados.
As cidades modernas s surgiram aps a Revoluo Industrial (1760) quando novas
tecnologias, distribudas em larga escala, permitiram que as cidades se expandissem e crescessem,
criando a necessidade e culminando no surgimento dos servios urbanos que conhecemos hoje
(Montagna, 2014; Reader, 2004; Kite, 2014).
Sob o ponto de vista tecnolgico, as cidades tambm sofreram diversas alteraes ao
longo dos anos, utilizando TICs gradativamente, com o intuito de dar suporte aos servios disponibilizados, de modo que sejam mais convenientes e acessveis aos seus cidados e, principalmente,
possam ser providos de forma mais eficiente e eficaz.
Dentro do histrico de evoluo de cidades comuns, as Cidades Digitais, a exemplo
das cidades cidades AOL (Fischetti, 2011) e das cidades de Kyoto e Amsterdam, criadas nos
anos 90, so as primeiras criaes tecnolgicas reportadas na literatura em direo ao que
hoje chamamos de CI (Ishida, 2002). Assim como nas Cidades Virtuais (Derudder, 2011), nas
Cidades Mveis (Anthopoulos and Fitsilis, 2010), nas Cidades biquas (Gil-Castineira et al.,
2011; Lee et al., 2011) e nas Cidades Cognitivas (Mostashari et al., 2011), o objetivo era criar
uma infraestrutura que possibilitasse o acesso democrtico a alguns servios, disponibilizados
2.1. CIDADES INTELIGENTES
26
de forma virtual, diminuindo a dependncia da interveno humana em processos repetitivos

que poderiam ser automatizados. Estas abordagens, devido ao foco em servios, acabavam
criando silos de servios, segregando informaes que, se compartilhadas entre departamentos e
organizaes, poderiam gerar insumo para implementao de melhorias na gesto urbana.
Em seguida, esses modelos de cidades evoluram da ateno aos servios, para o fluxo
de informao que esses servios manipulavam. As Cidades da Aprendizagem (Plumb et al.,
2007), as Cidades do Conhecimento (Anthopoulos and Fitsilis, 2010) e as Intelligent Cities
(Komninos and Sefertzi, 2009; Malek, 2009) visavam criar uma economia de informao
baseada em aes coletivas, oferecendo infraestrutura para troca de conhecimento, como suporte
propagao do conhecimento e ao crescimento de negcios locais, estimulando o aprendizado,
o desenvolvimento tecnolgico e a inovao, envolvendo pesquisa, desenvolvimento e evoluo
de produtos e novas tecnologias, servindo de esteio para indstrias inovadoras.
At este momento, o uso da tecnologia no contexto urbano havia priorizado o estabelecimento e manuteno de negcios, fundamentados em informaes obtidas atravs dos
servios providos, e negligenciado o aspecto humano inerente e o benefcio coletivo da tarefa,
sem visar melhorias na qualidade de vida do cidados atravs dos servios disponibilidos. Frente
crescimento populacional apresentado na Motivao (Seo 1.1) deste trabalho, a ateno ao
modo como o ecossistema urbano e suas dinmicas impactam na qualidade de vida dos seus
habitantes, assumem um carater emergencial. neste cenrio que se estabelecem as Cidades
Inteligentes (CIs).
O conceito de CIs surge da necessidade de gerir os diversos problemas decorrentes do
aumento da populao nos grandes centros urbanos, afetando servios como transporte, sade
pblica, gesto de redes de energia eltrica e gua, saneamento bsico, etc. (Winpenny, 2008).
De uma forma bem simplista, o gerenciamento de cada servio sugere um monitoramento
constante, suportado por mecanismos de coleta de dados. Estes dados podem ser processados e
analisados, gerando como resposta alguma ao que assegure ou auxilie a proviso de servios
urbanos em nveis satisfatrios de qualidade e efetividade. Numa viso mais complexa, distribuio e integrao so requeridos, tanto em relao aos elementos monitorados quanto aplicao
das aes necessrias; os dados devem ser relacionados e o processamento e a anlise devem
levar em considerao a influncia de agentes externos e de outros servios.
A viso complexa da aplicao de gerenciamento de servios - distribuda e integrada
- requer a utilizao massiva de algum tipo de sensoriamento. a partir de um conjunto de
sistemas de monitoramento que se pode construir uma viso holstica (viso sistema de sistemas)
da cidade, dedicada manuteno eficiente de seus servios, com o objetivo de melhorar a
qualidade dos mesmos.
Especializando esta viso para um cenrio onde cada objeto provido de inteligncia
e/ou tecnologia suficientes para transform-lo em um provedor/consumidor de dados, natural
imaginar as referidas distribuio e integrao, onde cada n (objeto) possui parte da informao
necessria para algum fim e tem uma responsabilidade especfica de fazer esse dado chegar at
27
uma entidade centralizadora, capaz de processar e gerenciar os dados provenientes de diversas

(eventualmente centenas ou milhares) fontes de dado. A este conjunto de objetos agindo de
forma colaborativa, na busca de um propsito comum bem definido chamado de Internet das
Coisas (IoT), que constitui um dos fundamentos tecnolgios essenciais na implementao de
CIs (Atzori et al., 2010; Haubensak, 2011).
Muitos dos problemas enfrentados pelas grandes cidades poderiam ser evitados, ou
mesmo minimizados, se aplicado o gerenciamento de servios, usando TICs (Haubensak, 2011;
Klein and Kaefer, ????). O monitoramento do trfego em ruas e rodovias poderia alimentar
sistemas de informaes capazes de redistribuir o fluxo de veculos, atravs de rotas calculadas
em tempo real; o monitoramento do consumo de energia eltrica de eletrodomsticos permitiria
otimizar sua operao, com base nos hbitos e necessidades dos residentes; desastres naturais
poderiam ser previstos em tempo hbil para que as aes adequadas pudessem ser tomadas. Estes
so apenas alguns dos cenrios nos quais a tecnologia poderia assumir um papel auxiliar em
tomadas de decises estratgicas.
A literatura contm diversos trabalhos que reportam algumas implementaes de CIs,
que por sua vez incluem uma quantidade significativa de tecnologias e conceitos. Por este motivo,
para embasar a temtica deste trabalho, iniciou-se em uma reviso, publicada em (da Silva et al.,
2013), na qual buscaram-se analisar concepes de arquiteturas para CI, propostas em trabalhos
na academia e na indstria, sob o ponto de vista dos requisitos que buscam satisfazer, a fim de se
encontrar os problemas mais abordados na rea, bem como os tpicos de pesquisa mais carentes
de ateno. Estes requisitos sero brevemente comentados na subseo que se segue.
2.1.1
Requisitos para Cidades Inteligentes: Um Overview
A Tabela 2.1 sumariza os requisitos e os respectivos trabalhos estudados nos quais foram
encontrados.
O requisito Monitoramento em Tempo Real representa uma importante caracterstica
inerente ao contexto de cidades inteligentes: o monitoramento contnuo e em tempo real. O
monitoramento em tempo real o instrumental mais valioso para o fornecimento de informaes
relevantes que sero utilizadas para prever fenmenos. Um exemplo disso o monitoramento do
nvel dos rios durante as temporadas de chuva. Nesta situao, a partir de um monitoramento
efetivo, possvel tomar medidas para mitigar possveis transtornos aos cidados, como enchentes
e a transmisso de doenas.
Interoperabilidade de Objetos um requisito fundamental para a consolidao de
qualquer plataforma que utilize uma gama de objetos com diferentes especificaes tcnicas e
protocolos de comunicao, no qual um objeto uma abstrao de sensor, atuador ou qualquer
outro dispositivo que possa realizar algum tipo de computao.
O trabalho tambm identificou a importncia da Sustentabilidade. Por redefinir essencialmente a dinmica de uma cidade, propostas de implementao para CIs precisam incluir, desde
28
Tabela 2.1: Mapeamento Requisitos-Trabalhos
Requisito
Monitoramento em tempo real
Trabalhos
(Al-Hader et al., 2009; Asimakopoulou and Bessis,
2011; Attwood et al., 2011; Filipponi et al., 2010;
Hernndez-Muoz et al., 2011; PlanIT, 2012; Sanchez
et al., 2011)
Interoperabilidade de objetos
(Filipponi et al., 2010; Hernndez-Muoz et al., 2011;
Lee et al., 2011; Zygiaris, 2013; PlanIT, 2012)
Sustentabilidade
(SETIS, 2012; Haubensak, 2011; Klein and Kaefer,
????; Lee et al., 2011; Zygiaris, 2013)
Dados histricos
(Blackstock et al., 2010; Lee et al., 2011; PlanIT, 2012;
Sanchez et al., 2011)
Mobilidade
(Blackstock et al., 2010; Hernndez-Muoz et al.,
2011; Sanchez et al., 2011; Zygiaris, 2013)
Processamento e sensoriamento dis- (Filipponi et al., 2010; Andreini et al., 2011;
tribudos
Hernndez-Muoz et al., 2011; Lee et al., 2011)
Tolerncia a falhas
(Hernndez-Muoz et al., 2011; Nam and Pardo, 2011;
Sanchez et al., 2011)
Composio de servio e gerencia- (Anthopoulos and Fitsilis, 2010; Nam and Pardo, 2011;
mento urbano integrado
PlanIT, 2012)
Aspectos sociais
(Asimakopoulou and Bessis, 2011; Klein and Kaefer,
????)
Flexibilidade/Extensibilidade
(Klein and Kaefer, ????; Lee et al., 2011)
Privacidade
(IBM, 2012; PlanIT, 2012)
sua concepo, polticas sustentveis. Estas polticas devem estar relacionadas aos aspectos
ambiental, econmico e social de cada domnio.
Quanto ao requisito Dados Histricos, no contexto de CIs, todos os componentes que
compem cada domnio de uma cidade esto constantemente sendo modificados, seja por eventos
humanos, naturais ou tecnolgicos. Dessa forma, todo dado captado tem potencial para compor
uma informao relevante, desde que seja agregado a outros dados, logo, torna-se substancial
que as propostas contemplem mecanismos eficientes de armazenamento e consulta desses dados.
Por sua vez, a Mobilidade outro requisito fundamental que deve ser explorado. Por
mobilidade, entende-se toda e quaisquer tecnologias mveis, capaz de captar informaes do
ambiente, passiva ou ativamente, ou atuar sobre o mesmo. A mobilidade um dos principais
aliados para a implementao do monitoramento em tempo real. Ao considerar que 4 bilhes
de cidados j possuem smartphones Hall (2012), natural associar mobilidade ao uso destes
dispositivos. Porm outros dispositivos tambm podem ser utilizados, como ZigBee e RFID
(Radio-frequency identification).
Para que sejam propostas solues para o aumento da eficcia em servios urbanos,
necessrio que se faam aferies das caractersticas qualitativas ou quantitativas que permeiam
esses servios, bem como dos resultados que produzem. atravs de sensoriamento que se
obtm a viso computacional do ambiente urbano; quanto maior o nmero de sensores e mais
29
disperso eles estiverem, maior ser o escopo abrangido pela soluo proposta. A heterogeneidade
dos sensores utilizados influencia na riqueza de detalhes e na quantidade de dados que podem
ser extrados de cada cenrio sendo monitorado, tornando possvel a obteno de resultados mais
precisos; por exemplo, relatrios de trnsito em determinada via podem ser melhor analisados
e complementados com imagens obtidas atravs de cmeras instaladas nas redondezas. Alm
disso, situaes que exigem a adoo imediata de medidas preventivas ou corretivas requerem
processamento em tempo real, com tempo de resposta rpido o suficiente para fundamentar as
aes que devem ser executadas. Considerando quantidades massivas de dados coletados, o
suporte esse tipo de contexto sugere a necessidade de processamento distribudo, explorando a
capacidade da infraestrutura existente. Esses cenrios caracterizam o requisito Processamento e
sensoriamento distribudos (Hernndez-Muoz et al., 2011; Filipponi et al., 2010; Andreini
et al., 2011; Lee et al., 2011).
Outro requisito identificado como importante para permitir a captao de dados, a
tolerncia a falhas da infraestrutura subjacente, com mecanismos de controle de fluxo, coliso
e redundncia devem ser inerentes soluo. Entretanto, a implementao de uma CI no pode
ser dependente da infraestrutura de cloud, ou seja, independente do estado da cloud, o sistema
deve continuar obtendo e armazenando os dados, inclusive atuando de forma autnoma (Sanchez
et al., 2011; Hernndez-Muoz et al., 2011; Nam and Pardo, 2011).
O requisito Composio de servios e Gerenciamento urbano integrado parte de
uma viso sistmica, na qual ambientes urbanos so essencialmente um conjunto de sistemas
complexos, disponveis para suprir as necessidades de seus cidados. Qualquer implementao
de CI que pretende dar suporte a esse tipo de sistema deveria consider-los como complementares
na busca pelo gerenciamento urbano efetivo, ao invs de trat-los de forma isolada. Assim sendo,
servios desenvolvidos para sustentar tais sistemas devem ser interoperveis, de forma que
outros servios possam reus-los, agrup-los ou criar uma composio a partir deles, explorando
importantes aspectos de sua correlao, ou mesmo criar uma viso holstica e contextualizada da
cidade, agregando informaes de diferentes fontes, permitindo uma gesto urbana mais efetiva
e integrada (Anthopoulos and Fitsilis, 2010; Nam and Pardo, 2011; PlanIT, 2012).
Tendo em vista que o propsito principal na concepo de uma cidade inteligente o
aumento na qualidade de vida de seus cidados, outro requisito que surgiu a partir do estudo
realizado foram os Aspectos sociais. Apesar do aparato tecnolgico ser um dos possveis
elementos que podem ser utilizados para a implementao de CIs, as pessoas precisam participar
e serem beneficiadas pelo processo, caso contrrio, todo investimento ser em vo. Um exemplo
disso, a Cidade Digital de Trikala, Grcia, que aps cinco milhes de Euros gastos em
manuteno de infraestrutura e 6 anos de funcionamento, a populao no utilizava ou sequer
tinha conhecimento dos servios digitais disponveis Anthopoulos and Fitsilis (2010). As pessoas
precisam sentir-se inclusas como parte fundamental da soluo idealizada no conceito de CI.
Para isso podem ser criadas formas de estimular e/ou retribuir esse interesse, como caso da
iniciativa Fun Theory Sweden (2009), da Volkswagen, na qual criam-se novas formas de se fazer
30
tarefas repetitivas, a fim de estimular a mudana de hbitos. Alm disso, os servios devem estar
disponveis para todos os cidados independente de quaisquer restries social, fsica, econmica
ou financeira, a tecnologia deve ser aplicada afim de trazer benefcios coletivos, e no alienar ou
elitizar uma pequena parte da populao (Asimakopoulou and Bessis, 2011; Klein and Kaefer,
????).
A Flexibilidade/Extensibilidade tambm foi vista como um requisito relevante nas
abordagens estudadas, apontando que mudanas, adaptaes e extenses devem ser previstas,
quando se estabelece uma CI. Alm da insero de novos servios, novos tipos de sensores,
diferentes tipos de dados coletados, diferentes contextos urbanos e funcionamento independente
de padres especficos de hardware devem ser contemplados, permitindo que possa ser adaptvel
a diferentes realidades (Klein and Kaefer, ????; Lee et al., 2011).
Todas as questes de manuteno de dados envolvidas na concepo de uma CI so
de suma importncia. Porm, devem ser estabelecidas polticas de privacidade esclarecendo
quais dados sero capturados e o que ser feito com eles. Certamente a no consolidao destas
polticas um desafio que pode impedir os cidados, instituies e governo de fornecerem
determinados dados crticos, atravancando o sucesso na implantao e manuteno de uma CI.
O requisito privacidade foi abordado com menor profundidade/relevncia em apenas dois dos
trabalhos estudados, (PlanIT, 2012; IBM, 2012), expressando preocupao com a garantia desse
direito aos cidados, apesar de ambos no disponibilizarem detalhes de como implementam
privacidade em suas solues, o que impediu uma anlise mais apurada do assunto no contexto
de CI.
2.1.2
Consideraes
O levantamento desses requisitos permitiu que se pudessem identificar os tpicos de

pesquisa mais/menos abordados no contexto de CIs, indicando possveis direcionamentos que
o trabalho aqui apresentado poderia assumir. A escassez de trabalhos explorando o tema
privacidade a oportunidade que representa, foi o que despertou maior interesse, tanto pela
interdisciplinaridade, quanto pelo potencial das possveis solues vislumbradas.
O intuito de tratar o tema sob o ponto de vista de CIs deu-se pela viso de que, o uso
intensivo de TICs nas cidades, uma tendncia que representa uma evoluo na forma de gesto
urbana, utilizando servios e informaes em prol da qualidade de vida das pessoas. Entretanto,
como consequncia dessa evoluo cria-se um ecossistema favorvel ao uso desordenado de
dados e informaes pessoais, trazendo prejuzos para o cidados, anulando o efeito benfico
proposto pela tecnologia.
Na seo que se segue o tema privacidade ser definido de acordo com a literatura, tendo
seu significado estreitado para a conceituao que ser utilizada ao longo do trabalho.
2.2. PRIVACIDADE
2.2
31
Privacidade
A escassez de trabalhos que abordassem o tema privacidade no survey brevemente

descrito na seo anterior traz de volta o debate do direito privacidade, que perdura desde a
Declarao Universal dos Direitos Humanos, em 1948, quando o assunto ainda no tinha teor
palpvel e prtico, com um carter mais preventivo que corretivo, at os dias atuais. Aps o caso
Snowden1 e a asceno do assunto para a mdia, o assunto ganhou ateno das massas. Este
requisito fomentou o interesse de desenvimento deste projeto de pesquisa, tanto pela atendimeto
escasso por parte das implementaes estudadas, quando pelas possibilidades vislumbradas
como possveis solues.
O significado de privacidade expandiu-se de acordo com a evoluo dos sistemas de
informao, a forma como usurios interagem com eles (bem como a conscincia desses usurios
sobre a forma como seus dados so tratados) e a proposio de valor que proporcionam. Apesar
de no se ter encontrado um consenso literal, todas as definies direcionam para um cenrio
onde uma pessoa possui controle sobre quem, quando, como, por que, para que, onde e por
quanto tempo seus dados sero utilizados por algum provedor de servio.
Diferente da dinmica que tnhamos nos anos 70, em que os dados pessoais eram coletados e sua utilizao era restrita a um propsito nico e especfico, atualmente algumas tcnicas
de anlise e/ou minerao de dados podem ser aplicadas para se estabelecer as correlaes,
predies, etc., gerando conhecimento mais profundo sobre o proprietrio dos dados (Forum,
2013), impedindo controlar as dimenses da exposio.
Na inteno de se regulamentar prticas para proviso de privacidade, as diretrizes
de manuteno de privacidade propostos pela Organisation for Economic Co-operation and
Development (OECD)2 (Publishing and OECD. Publishing, 2002) e pelo National Institute of
Standards and technology (NIST)3 (Commission et al., 2007), convergem em um conjunto de
princpio que incluem a) transparncia/abertura quanto s prtica de uso de dados pessoais; b)
envolvimento do indivduo no processo de utilizao de seus dados pessoais, provendo mecanismos apropriados de gerenciamento; c) determinao do propsito para o qual o dado est sendo
coletado, bem como limitao do uso subsequente apenas ao necessrio para o cumprimento do
propsito especificado; d) coleta de dados diretamente relevantes e necessrios para o propsito
especificado, mantidos durante o tempo suficiente para que o propsito seja mantrrido; e) dados
pessoas no devem ser divulgados, disponibilizados ou usados para propsitos diferentes do
especificado; f) organizaes devem certificar-se de que os dados coletados so/esto corretos,
relevantes, adequados e completos; g) os dados devem ser protegidos quanto perda ou acesso
1 Para
mais informaes http://bit.ly/1rrgZJp

organizao cuja misso promover polticas que visam melhorar o bem-estar social e econmico das
pessoas ao redor do mundo, atravs de colaborao entre governos. Fonte: http://bit.ly/1oeDJt4, acessada em
03/05/2014.
3 Fundado em 1901, o NIST uma agncia federal dentro Departamento de Comrcio americano, que visa
promover a inovao e competitividade industrial atravs do avano no campo de medies, padres e tecnologia.
Fonte: http://1.usa.gov/1kHHLt9, acessada em 03/05/2014.
2 Uma
2.2. PRIVACIDADE
32
no autorizado, destruio, uso, modificao e exposio no intencional ou inapropriado; e h)

organizaes devem ser responsveis pelo cumprimentos desses princpios, treinando e auditando
sua aplicao em suas atividades.
Pode-se identificar este conjunto de requisitos embutidos nas regulamentaes do uso de
dados pessoais na Unio Europia, Estados Unidos e Brasil, conforme mostrado no captulo 3, o
que indica um consenso na implementao do conceito, ao menos no ponto de vista legal.
De acordo com a literatura, a noo de privacidade por ser divida em 4 categorias:
Privacidade Territorial: que visa controlar observadores e interferentes, referindose proteo de espaos fsicos (ou territrios) privados (Chaum, 1981; Knings
et al., 2010);
Privacidade Fsica: diz respeito proteo da integridade fsica das pessoas contra
a procedimentos invasivos (Banisar and Davies, 1999);
Privacidade de Comunicao: abrange a segurana e a privacidade de todas as
formas de comunicao (Banisar and Davies, 1999);
Privacidade de Informao: refere-se proteo de dados pessoais, ou seja, quando,
como e em que extenso esta informao comunicada a outros, mantendo-se a
qualquer momento sob o controle completo do usurio (Heinroth and Minker, 2011).
O presente trabalho no trata das 3 primeiras categorias - territorial, fsica e comunicao

- e refere-se privacidade de informao genrica e simplesmente como privacidade. Em
termos de definio-guia para posteriores discusses, considera-se um resumo dos trabalhos
apresentados em (Publishing and OECD. Publishing, 2002; Cho et al., 2004; Heinroth and
Minker, 2011) amplo o suficiente para estabelecer uma viso genrica de privacidade, adequado
ao escopo do trabalho: privacidade atingida quando no existem dados mantidos em segredo e,
em caso de exposio, os princpios sobre a coleta, cujos procedimentos devem estar estritamente
de acordo com um propsito bem definido, e armazenamento - que garante o controle do usurio
- so seguidos de uma forma responsvel, incentivando o engajamento dos usurios.
2.3. DIRECIONAMENTO
2.3
33
Direcionamento
Neste captulo foram definidos os conceitos de CI e privacidade, teis no desenvolvimento

e compreenso deste trabalho, bem como sua justificativa, baseada no resultado do survey sobre
solues de CIs, brevemente apresentado.
Na forma como so idealizadas hoje, CIs seriam projetadas para serem suportadas por
um conjunto de servios e infraestrutura essencialmente tecnolgicos (e por que no dizer,
com certa nuance futurista), construdos do zero, baseados na instalao e controle de uma
infraestrutura robusta de hardware, software e comunicao, que dariam suporte aos requisitos
comuns, descritos na Seo 2.1.1 deste Captulo.
Para as cidades j existentes, um processo de adaptao faz-se necessrio, no qual a
infraestrutura de servios e comunicao evolui gradativamente, adequando o uso de TICs
realidade socioeconmica da cidade, guiados, por exemplo, pela implementao dos requisitos
levantados em (da Silva et al., 2013) ou ainda em um modelo de maturidade para CIs, como o
proposto em (Afonso et al., 2013).
Contudo, em ambas situaes, para que se complete o elenco de atuao efetiva para
uma CI, necessrio o envolvimento das pessoas.
Pessoas so importantes em CIs por dois motivos bsicos. Primeiro, por que cidades so
fundamentalmente constitudas de pessoas e processos, sistemas e servios que giram em torno
delas; sendo o propsito principal promover um aumento e manuteno na qualidade de vida dos
cidados, seria ingnuo e imaturo ignorar a razo-de-ser das CIs: as pessoas. Segundo, como
apontado no livro Cidades Para Pessoas (Gehl, 2010), o autor Jan Gehl afirma que, considerando
que a maioria da populao global tornou-se urbana ao invs de rural, as cidades tero que
fazer mudanas cruciais em termos de planejamento e priorizao, focando-se nas necessidades
das pessoas que habitam/constituem/utilizam essas cidades; assim, o envolvimento das pessoas
no processo implica em maior chance de compreenso dos problemas reais existentes, rumo a
solues que, efetivamente, produzam melhorias na qualidade de vida urbana.
Nas prximas sees deste captulo sero discutidos a importncia do envolvimento
das pessoas na implementao de CIs em sua plenitude e os problemas decorrentes desse
envolvimento.
34
3
Pessoas Como Sensores em
Anybody who has been seriously engaged in scientific work of any kind
realizes that over the entrance to the gates of the temple of science
are written the words: Ye must have faith.
MAX PLANCK
De acordo com Ratti & Nabian (Ratti and Nabian, 2010) existem trs mecanismos
distintos de se monitorar uma cidade, a fim de extrair dela as informaes necessrias que,
quando devidamente processadas, possibilitem a tomada de decises melhor fundamentadas e
efetivas.
O primeiro mecanismo, ou sensoriamento viral, beneficia-se de sistemas j instalados
(assim como vrus, que se instalam em outros organismos vivos), para quaisquer outros propsitos, cujo funcionamento produz naturalmente informaes que, quando justapostas, podem
determinar a forma como a cidade funciona. O segundo mecanismo, rede de sensores, baseia-se
em sensores fsicos (fixos ou mveis) instalados no ambiente de interesse, responsveis por
coletar variaes nos atributos monitorados. O terceiro mecanismo, de maior interesse para este
trabalho, baseado em pessoas - ou crowdsensing, e permite que, atravs dos dispositivos mveis
que estas pessoas portam, se extraiam informaes sobre determinado contexto, tanto atravs do
monitoramento a nvel indivdual, quanto a nvel comunitrio, sendo o ltimo de maior benefcio
coletivo, trantando-se de cidades.
No monitoramento baseado em pessoas em nvel comunitrio, o envolvimento do indivduo pode se dar de forma ativa, voluntria (por exemplo, reportando trnsito em alguma
via), ou oportunista, que ocorre de forma passiva, sem necessariamente envolver o usurio,
gerando novos dados sempre que o estado do dispositivo corresponder aos requisitos da tarefa
de monitoramento (por exemplo, a coleta automtica de informaes de localizao) (Ganti
et al., 2011; Krontiris and Dimitriou, 2013). Atravs deste mecanismos, cria-se uma verso
35
digital paralela cidade fsica, gerando diferentes tipo de dados que provem uma viso nica
de como as pessoas vivenciam, trafegam e vem a cidade; a populao torna-se ento uma
rede distribuda de sensores que nos permite entender os padres dinmicos da cidade e as
experincias de seus cidados, quase em tempo real (Ratti and Nabian, 2010).
3.1. PESSOAS COMO SENSORES
3.1
36
Pessoas Como Sensores
O propsito em focar a dimenso humana em CIs fazer com que cidades evoluam de
espaos inteligentes para cidados conectados.
Enquanto uma infraestrutura de comunicao de qualidade um elemento chave dentro
de uma Cidade Digital, em uma CI este apenas o primeiro passo; equipamentos de rede, pontos
de acesso pblicos e sistemas de informao especficos tambm podem ser considerados. Vrias
cidades no mundo j disponibilizam acesso gratuito via conexo sem fio pblica, como Barcelona
(Espanha), Taipei (China), Paris (Frana), Helsinque (Sucia), Los Angeles (Estados Unidos), no
Brasil, cidades como Campinas, Sorocaba e Recife tambm oferecem o servio com algumas
restries1 .
Alm disso, graas popularizao do acesso banda larga mvel - incluindo 3G (usando
WCDMA2 ), modem e 4G (usando LTE3 ) - e s taxas de adeso e planos acessveis, permitem
que, mesmo fora da rea de cobertura dos pontos de acesso sem fio pblicos, as pessoas possam
continuar conectadas. Aliado a isso, as estatsticas sobre o aumento no nmero de smartphones
e do uso de Internet mvel nestes dispositivos aponta para um quadro promissor da incluso
destas pessoas como sensores. Uma pesquisa feita pela IDG Global Solutions, em 2011, mostra
que 74,6% dos brasileiros navegam na Internet diariamente e 71,7% baixam e usam aplicaes
mveis. Outra pesquisa, feita pela IDC, uma subsidiria da IDG no Brasil, mostra que com base
nos dados consolidados do mercado brasileiro de celulares em 2013, 11,5 milhes de unidades de
smartphones, um volume de 123% em relao ao ano anterior, com expectativa de crescimento
para os 4 anos seguintes4 .
A vantagem da democratizao da conectividade, que os cidados tornam-se aptos a
acessar e gerar contedo, permitindo que as cidades se tornem grandes hospedeiras de sensores
vivos, de forma que as informaes poderiam ser utilizadas para ajustar recursos e servios
urbanos de acordo com a necessidade dos cidados (Ratti and Townsendn, 2011). Em suas
atividades dirias, pessoas geram dados em diferentes situaes: transaes online, emails,
vdeos, imagens, cliques, logs de navegao, termos de busca, registros de sade e interaes em
redes sociais, alm dos dados recolhidos a partir de sensores pervasivos implantados na prpria
infraestrutura, tais como redes de comunicao, redes de energia, satlites de posicionamento
global, ruas, residncias, prdios, escritrios, automveis, etc., que poderiam, alm de monitorar
1 Informaes
obtidas em http://bit.ly/1r9Oz5i, http://bit.ly/PnXQZk, http://bit.ly/

1tt8Che, em 21/04/2014
2 Do ingls Wideband Code Division Multiple Access, Acesso Mltiplo por Diviso de Cdigo de Banda Larga,
o WCDMA um padro de interface area, designado pela International Telecommunication Union como parte
parte do sistema de comunicao mvel 3G, usado em redes UMTS(Universal Mobile Telecommunications Sytem)
e HSPA(High Speed Packet Access), que pode transportar dados a altas velocidades, permitindo que operadoras
de telefonia mvel forneam servios multimdia mais sofisticados, como stream de msica, TV, vdeo e acesso
Internet banda larga. Fonte: http://bit.ly/1nksD8h
3 Do ingls Long Term Evolution, uma tecnologia de rede mvel que representa uma evoluo do padro e
caractersticas do 3G. Fonte: http://bit.ly/1i8Pl1f
4 Fontes: http://migre.me/iTl10, http://migre.me/iTkZA, acessados em 22/04/2014
37
informaes sobre seu prprio status, coletar informaes sobre o ambiente (Asimakopoulou
and Bessis, 2011; Tene and Polonetsky, 2012).
A grande dificuldade identificada no uso de sensores fsicos que, alm de estticos, e o
custo para implantao pode no condizer com as condies econmicas da cidade.
Geralmente sensores visam coletar dados, envi-los para alguma entidade centralizadora,
permitindo-os serem aproveitados de forma oportuna. Comumente eles esto espalhados em
alguma rea de interesse, focando em propsitos de aplicao especficos (Campbell et al., 2006).
Com isso, o monitoramento fica suscetvel a uma viso imediata do ambiente e depende de
intervalos de tempo para ser atualizado.
Pessoas, ao contrrio de sensores fsicos, esto em constante movimento quase o tempo
todo, alm de estarem imersas em um entorno dinmico e em constante mudana, possibilitando
uma maior abrangncia na rea monitorada (Ma et al., 2014). Quando cidados esto envolvidos
no processo de coleta de dados urbanos eles podem examinar seu entorno, reunindo informaes
sobre ele, tanto do panorama humano, quanto do fsico, ajudando a compreender diversos
aspectos de algum fenmeno, evento ou contexto de interesse (Nandakumar et al., 2013). Neste
caso, os prprios cidados constituiriam produtores e consumidores de informao, graas s
habilidades nativas de ver e ouvir, onipresena dos smartphones e seus aplicativos e ao advento
da Web 2.0, que impulsionou uma exploso de compartilhamento de informao (Lioudakis
et al., 2009).
Alguns trabalhos encontrados na literatura, brevemente descritos nos pargrafos que se
seguem, discutem a importncia da atuao humana na construo, desde cidades digitais, s
ubquas at as inteligentes.
Recentemente, alguns estudos provaram o potencial dos dados provenientes de dispositivos mveis, originados de um novo paradigma chamado crowd computing ou citizen science.
Estes estudos mostraram que dispositivos e sensores mveis podem ser usados por cidados
comuns, que coletariam dados teis para diferentes propsitos. Atravs da colaborao, os
cidados tambm adquiririam um maior conhecimento sobre o que est acontecendo em seu
entorno e, paralelamente, as organizaes poderam facilmente (e sem esforo) identificar as
necessidades e desejos de seus consumidores (Paulos, 2009).
Similarmente, Asimakopoulou & Bessis (Asimakopoulou and Bessis, 2011) descrevem
uma arquitetura para gerenciamento de desastres e aponta para atuao coletiva como uma
alternativa de implementao de formas para que a comunidade possa contribuir e, ao mesmo
tempo, receber informaes teis de acordo com o cenrio atual. Este mecanismo de coleta de
dados poderia levar a informaes mais precisas e atualizadas relacionadas a diferentes aspectos,
por exemplo, no caso de uma epidemia, a identificao, posicionamento e condies de sade
das pessoas afetadas e o posicionamento e status das equipes mdicas seriam informaes teis e
essenciais para definio das medidas a serem tomadas; no caso de uma catstrofe ambiental,
informao sobre os locais de risco, identificao das condies ambientais e posicionamento e
status das equipes de resgate determinariam os passos necessrios para uma atuao efetiva.
38
(Lee et al., 2011) e (Dirks and Keeling, 2009) concordam que dispositivos mveis,
aliados redes de alta velocidade e de longo alcance e sensores embutidos no ambiente provem
o fundamento tcnico para uma cidade com servios disponveis em qualquer lugar, a qualquer
tempo, abrindo oportunidades para gerenciamento urbano mais efetivo e eficiente.
Paralelamente, em (PlanIT, 2012), uma iniciativa por parte da indstria, que interpreta a
cidade como um organismo na qual, tanto os elementos fsicos, quanto os humanos, interoperam
entre si, sendo os ltimos elementos crticos para que as cidades sejam bem sucedidas e prsperas
social e ambientalmente, tornando um lugar melhor para se viver. Os autores tambm afirmam
que, apesar dos aumentos no nvel de inteligncia e automao a ser aplicada no projeto das
futuras cidades, cada servio e cada atividade exige a participao de pessoas. O trabalho prope
um cidado com mltiplos papis, que interage com a cidade, suas construes, infraestrutura e
servios, tirando vantagens de seus dispositivos mveis.
J em (Nam and Pardo, 2011), prope-se o conceito de Smart People, afirmando que os
problemas associados s aglomeraes urbanas podem ser resolvidos por meio de criatividade,
cooperao entre stakeholders e suas brilhantes ideias - as solues inteligentes.
Uma abordagem parecida proposta em (Pan et al., 2011), no qual se descreve um
mtodo para mensurar a inteligncia de uma cidade, com uma dimenso Smart Citizen (Cidado
Inteligente), construindo-se uma estrutura de ndices para revelar a efetividade na melhoria da
qualidade da vida urbana, focada na capacidade da infraestrutura de TIC e em aplicaes para
coletar feedback sobre a satisfao dos residentes, avaliando suas habilidades e experincias.
Campbel et al. (Campbell et al., 2006) descreve a MetroSense, uma arquitetura de rede
para sensoriamento centrado em pessoas, em escala urbana, baseada no paradigma de rede de
sensores oportunistas (Kapadia et al., 2009), na qual indivduos em posse de seus dispositivos
mveis, coletam informaes dentro de sua rotina diria, direta ou indiretamente relacionadas s
atividades humana e forma como as pessoas interpretam e interagem com o ambiente ao seu
redor.
Um outro vis, apresentado em (Chillon, 2012), vai em direo s polticas de dados
abertos que esto sendo implantadas mundialmente e s iniciativas pblicas liberando o acesso
aos dados pblicos, gratuitamente, para que as pessoas interessadas criem aplicaes que dem
utilidade queles dados. O modelo de uso de dados abertos foi aderido rapidamente por entidades
governamentais no mundo todo, deixando a soluo de problemas/anseios urbanos pblicos
por conta dos prprios cidados, os principais interessados. Abrir informao pblica para
utilizao propicia a oportunidade de se explorar outras formas de oferecer servios pblicos que,
tradicionalmente, so providos pela administrao pblica, fomentando inovao e engajamento
civis.
Como se v, a importncia e forma de atuao das pessoas, enquanto cidados, se d de
diversas formas: tanto como produtores de dados e informaes, quanto consumidores. O que se
nota em comum nos trabalhos estudados o consenso de que, incluir o cidado como parte da
soluo, alavanca e justifica a transformao de cidades comuns em CIs.
39
Pode se dizer que, estabelecendo-se pessoas como a base (ou ingrediente principal)
da soluo, ao invs de TICs, pura e simplesmente, materializa-se um conceito plenamente
abstrato de CI - movido a casas autogerenciveis, carros autodirigveis, sistemas de transporte e
circulao resilientes, redes de eletricidade autosuficientes e assim por diante - expressada atravs
de campanhas de teor quase que publicitrio por grandes empresas como IBM, Siemens e Cisco,
como discutido em (Greenfield, 2013), e se instaura uma implementao onde os problemas
urbanos (to especficos quanto a prpria natureza da cidade em questo) so solucionados em
partes", eventualmente com tecnologia, refletindo em aes/resultados mensurveis no todo".
Porm, o problema que surge a medida que se utilizam pessoas como sensores, que
os dados manipulados podem incluir informaes de teor pessoal, cuja exposio violaria a
privacidade individual. As sees que se seguem vo discutir a extenso dessa violao na
manipulao de dados pessoais, agravada pelo acmulo dos mesmos em bancos de dados fora
do controle dos indivduos e pelas capacidades de anlise, correlao e minerao de dados
existente no cenrio computacional atual.
3.2. A PROBLEMTICA
3.2
40
A Problemtica
Quando se pensa em pessoas como sensores em sua mxima extenso, na qual interaes
de quaisquer natureza assumem importncia enquanto passveis de registro, no so poucas as
oportunidades em que isso se apresenta como uma alternativa mais que vivel, tanto em sua
forma passiva - sem participao explcita ou consentimento - quanto ativa, de livre e espontnea
vontade.
Geralmente a atuao como sensores vivos se d atravs de aplicaes para dispositivos
mveis, tipicamente munidos de vrios sensores - como Global Positioning System (GPS), sensor
de inrcia, de proximidade, luz, bssola, microfone, cmera, etc. - habilitados para uso de
Internet. Porm, existem outras formas de interao que transformam nossos dados e aes
em informao de utilidade para algum contexto/domnio, a exemplo das atividades dirias
mencionadas na Seo anterior.
Alm dos dados e respectivos contextos j mencionados, considerando uma escala massiva, o monitoramento contnuo, o efeito incremental (como chamado em (Tene and Polonetsky,
2012), devido ao fato de, uma vez o dado exposto online, torna-se quase impossvel recuper-lo
ou exclu-lo), a capacidade de anlise sofisticada e a forma como os dados so armazenados
atualmente, fazem com que os dados sejam cada vez mais granulares, reveladores, permitindo
que as corporaes consigam extrair mais informaes sobre os indivduos aos quais se referem,
aumentando sua competitividade sobre a concorrncia atravs de vantagens injustas sobre os
consumidores; concomitantemente, podem-se levantar questionamentos a respeito dos processos
de tomada de deciso automatizados, que imputam as decises sobre a vida de um indivduo tais como avaliao de crdito, perspectiva de trabalho e elegibilidade para a cobertura de seguro
ou benefcios - para mtodos automatizados baseados em algoritmos e inteligncia artificial
(Rubinstein, 2013).
Uma pesquisa realizada na Unio Europeia, denominada Eurobarometer (eur, 2011),
tinha como objetivo compreender o entendimento dos europeus com relao exposio de
dados pessoais, sua conscincia de como essas informaes podem ser armazenadas para futura
anlise, suas preocupaes em relao a esses novos usos de seus dados pessoais, suas formas de
proteger esses dados e suas expectativas em relao regulamentao da proteo aos dados.
Parte dos entrevistados reconheceu que no h alternativa alm de expor seus dados se
o que se quer obter produtos ou servios. Quando questionados sobre a responsabilidade do
manuseio seguro dos dados em redes sociais e/ou sites de compartilhamento, a maioria dos
internautas (74%) achavam que deviam ser eles mesmos os responsveis, contanto que lhes
fossem disponibilizados mecanismos para faz-lo. Quando concedida a oportunidade de nomear
uma segunda entidade a quem responsabilizar, os resultados mencionavam redes sociais ou sites
de compartilhamento (73%); as autoridades pblicas foram muito menos citadas (45%), apesar
de reconhecer que sanes para violaes nos direitos de proteo aos dados, impondo uma
multa em organizaes que fizessem o uso de dados pessoais sem conhecimento/consentimento
3.2. A PROBLEMTICA
41
prvio, deveriam ser a principal prioridade dessas entidades.

Em novembro de 2012, uma pesquisa realizada no Brasil pela FutureSight (FutureSight,
2012), a pedido da GSMA5 , uma representante dos interesses da indstria mundial de comunicao atravs de dispositivos mveis, agregando aproximadamente 800 operadoras de servios
de telefonia mvel e mais de 200 corporaes do ecossistema mvel, incluindo fabricantes,
indstria de software, equipamentos, geradores de contedo digital como ela mesmo se descreve buscou estudar meios de prover aos usurios formas contextualizadas e amigveis de
gerenciamento de informaes e privacidade em dispositivos mveis. O propsito geral era
entender as preocupaes do pblico brasileiro sobre privacidade e como essas preocupaes
influenciavam suas atitudes frente ao uso de servios e aplicaes mveis (na Internet), com o
intuito de desenvolver uma experincia de privacidade efetiva e consistente, ajudando usurios a
se tornarem familiarizados com a forma que gerenciam sua privacidade em dispositivos mveis.
Quando questionados sobre suas preocupaes com relao privacidade de seus dados,
86% dos usurios manifestaram essa preocupao quando acessavam a Internet ou aplicaes
de um dispositivo mvel. Entretanto, desse percentual, 66% estariam dispostos a continuar a
utilizao, independente do risco, e 32% continuariam a utilizao se pudessem sentir que suas
informaes estariam em segurana.
Dos entrevistados, 81% se consideravam seletivos na deciso de para quem exporiam
seus dados e, 2 em cada 3 usurios, verificavam as informaes que uma aplicao quer acessar
antes realizar a instalao. Apesar de manifestar essa conscincia de escolha, 51% assumiram
concordar com os termos de privacidade sem l-los e, desse percentual, 74% justificaram que
no o fazem porque os termos so muito extensos.
Um dos tipos de informao mais coletados pelas aplicaes, a localizao, tambm foi
assunto da pesquisa. Dentre os usurios que utilizavam servios geolocalizados, 92% disseram
que gostariam de ser perguntados sobre a permisso de compartilhamento de sua localizao;
alm disso 78% manifestaram preocupao com o acesso de terceiros sua localizao e 55%
acreditam que deveria ser estabelecido um conjunto consistente de regras a serem aplicadas nesta
situao.
Sobre a culpa, em caso de violao de privacidade, a maioria (58%) respondeu que recorreria s operadoras de telefonia mvel, independente de quem fosse a culpa. Isso provavelmente
se deve ao fato de 52% dos entrevistados acreditarem (cegamente) que as operadoras estavam
tomando as devidas precaues para manter seus dados em segurana.
Em ambas as pesquisas, o que se nota que falta uma preocupao de empresas, governo
e desenvolvedores de aplicaes quanto perspectiva do usurio sobre o contexto geral de uso
de seus dados. Neste sentido, pode-se constatar que falta transparncia, com meios esclarecidos
para que o usurio possa optar por usar uma funcionalidade ou autorize que ela seja executada
(automaticamente), dentro de um escopo de exposio controlado pelo usurio a todo tempo,
que seria o cenrio minimamente ideal na proviso de servios que lidam com dados pessoais
5 http://www.gsma.com/,
acessado em 22/04/2014
3.2. A PROBLEMTICA
42
(Walravens, 2011).
Finalmente, o problema de uma abordagem centrada em pessoas que os humanos so
entidades de comunicao/sensoriamento naturalmente passivas, em grande parte do tempo no
envolvidas no processo, aguardando algum estmulo externo que se traduza em proposio de
valor em algum nvel (pessoal, social, econmico, cultural, por exemplo), que torne a troca justa
(Lee et al., 2011). Com isso, para tornar pessoas em sensores efetivamente, as aplicaes tm
que sent-las, suas necessidades, desejos, seu entorno, suas interaes com o meio em que esto
imersas e com as pessoas sua volta, sem requerer delas a execuo de tarefas tediosas (como
abrir/acessar uma aplicao diversas vezes, preencher formulrios ou pressionar botes) com o
nico propsito de faz-las atuar como fonte de dados. necessrio engaj-las com aplicaes
que proporcionem algum valor agregado, ajud-las a lidar com sua rotina cotidiana e, baseado
neste tipo de interao e de forma transparente, torn-las em sensores urbanos vivos.
A viso das pessoas registradas pela pesquisa retrata uma viso imediatista sobre o
assunto. Entretanto, todo este cenrio de privacidade se agrava quando se pensa a longo prazo.
Como j citado anteriormente, o monitoramento constante ao qual as pessoas esto expostas,
aliado evoluo tecnolgica atual, regada computao em nuvem, big data e conceitos
adjacentes, elevam o tema privacidade para um nvel mais sofisticado e um tanto quanto no
explorado, que se intersecta com mecanismos legais que vm sendo criado para dar respaldo ao
cidado comum. sobre essa interseco que a seo a seguir vai discutir.
3.3. PESSOAS COMO SENSORES, LEIS E BIG DATA
3.3
43
Pessoas Como Sensores, Leis e Big Data
Apesar do conceito de Big Data ainda no estar bem delineado, dado o avano na gerao
e complexidade das informaes que TICs tm de (ou deveria) lidar nos dias atuais, uma sntese
da definio do termo, entendida como adequada para o escopo deste trabalho, a combinao
das discusses encontradas em (Forum, 2013) e (Meira, 2014), baseada em (Laney, 2001). Big
Data refere-se qualquer coleo de dados, cuja combinao de volume, variedade (de fontes e
tipos de dados) e velocidade (em termos de gerao, captura, natureza e ciclo de vida dos dados),
da qual se permite, atravs de algum tipo de computao, gerar significados para modelos e
processos de negcios para os quais esto sendo levados em conta.
Independente do quo familiar ou estranho seja o conceito, um fato conhecido pela
grande parte das pessoas que as empresas costumam guardar nossos dados desde longas datas,
quando os dados ainda eram preenchidos mo, em formulrios impressos; at ento esses dados
eram recursos estticos, com propsitos aparentemente bem definidos, geralmente esclarecidos
no momento da coleta. Entretanto, o que muitas pessoas no tem conscincia hoje, que a
extenso do uso dos dados fornecidos vo alm do explicitado e, neste sentido, no requisitado
consenso do indivduo para agir dessa forma.
Quando usado como um recurso unilateral de proviso de informao, Big Data permite
que seus detentores expandam sua capacidade de atuao com conhecimento suficiente para prospeco de aes melhor fundamentadas e, possivelmente, com maiores chances de efetividade.
Mesmo que a justificativa tcita do uso desses dados seja a personalizao de produtos e servios,
uma vez que no existem regras para que [os dados] possam (ou no) ser inclusos, ao mesmo
tempo que permite a gerao de aes com embasamento consistente, oportuniza a exposio
de dados pessoais e desequilibra o nvel de informao na relao provedor/consumidor de
produtos/servios, impedindo escolhas informadas no lado consumidor e possibilitando que o
lado provedor tire vantagem, ou faa mau uso, das necessidades de seus consumidores (Krontiris
and Dimitriou, 2013).
No aspecto legal, muito se tem avanado quanto regulamentao da manuteno do uso
de dados pessoais, com objetivo de aumentar a confiana, tanto nos servios utilizados, quanto
na tecnologia em si, criando regras claras e robustas que permitam que as empresas cresam
dentro de um arqutipo de proteo de dados que as tornem confiveis e mais competitivas.
Na Unio Europeia, desde Outubro de 1995, j existia um conjunto de leis que visavam
regulamentar privacidade, a European Union Data Protection Data Protection Directive 95/46
(DPD), do Parlamento Europeu e do Conselho de 24 de Outubro de 1995 sobre a proteo
com relao ao tratamento dos dados pessoais. Depois de 17 anos, quando novas formas de
comunicao mudaram a forma como as pessoas compartilham informao e com o surgimento
de um novo paradigma de armazenamento dessas informaes (armazenamento remoto, graas
cloud computing, ao invs de local), em Janeiro de 2012, uma reforma foi proposta Comisso
Europia (CE), dando mais poder de deciso aos cidados sobre seus dados (European Comission,
44
2012).
A reforma foi vista como necessria porque, o impacto gerado pelo advento de Big
Data na antiga DPD, afetava a transparncia e manisfestao do consentimento por parte dos
indivduos em fazer uma escolha informada sobre o compartilhamento de suas informaes com
as organizaes. A situao agravou-se com o surgimento de tcnicas de minerao e anlise
de dados. Isso porque, no se pode saber com antecedncia o que ser descoberto a partir de
uma coleo de dados, sendo assim, os usurios no tm o mnimo conhecimento das potenciais
correlaes que podem ser geradas, ficando impossibilitados de fundamentar seu consentimento.
Com isso, a proposta da CE visava assegurar que as pessoas fossem devidamente esclarecidas sobre quando seu dado seria processado, sendo sempre precedido pela declararao
explcita de consentimento. Outra parte da nova regulamentao descrevia o princpio do direito
de ser esquecido, no qual, uma vez que o indivduo no queira mais que seu dado seja utilizado,
uma empresa no possui mais o direito de mant-lo, sendo obrigada a exclu-lo de sua base de
dados. O conceito de consentimento foi descrito nos artigos 4 e 7 da reforma, como no s sendo
de livre e espontnea vontade do usurio, especfico e informado, como explcito, ou seja, nem o
ditado quem cala consente, nem mesmo inatividade constituiam consentimento vlido.
A CE tambm defendeu o direito de livre e fcil acesso aos dados pessoais, facilitando que
qualquer pessoa pudesse ter controle de quais informaes pessoais eram mantidas por empresas
e autoridades pblicas, bem como transferir esses dados de um provedor de servio para outro, de
acordo com os interesses individuais (o chamado Princpio da Portabilidade de Dados). Props-se
tambm que as empresas notificassem os indivduos e autoridades competentes em caso de algum
dado ser, acidental ou intencionalmente, destrudo, perdido, alterado, acessado ou exposto por
pessoas no autorizadas. Um ltimo princpio proposto, instituiu que medidas de proteo aos
dados fossem inclusas em produtos/servios desde a sua concepo e que configuraes de
privacidades user-friendly fossem normatizadas (Rubinstein, 2013).
Nos Estados Unidos, a primeira verso da regulamentao que garantia a proteo contra
a invaso da privacidade pessoal, foi o Ato de Privacidade (em ingls, Privacy Act), em 1974.
Ele estabelecia controle sobre os dados pessoais coletados, mantidos, utilizados e disseminados
pelas Agncias Federais, onde se fazia possvel recuperar informaes pessoais baseado em
algum parmetro de identificao do indivduo.
Resumidamente, o Ato de Privacidade garantia o direito do indivduo de acessar e alterar os registros sobre si prprio e o direito de proteo contra invases de privacidade no
justificadas, resultado da coleta, manuteno, uso e exposio de informaes pessoais (of State
Freedom of Information Act , FOIA). Com o surgimento de novas formas de comunicao e
interao com servios online, bem como a transio de dados/metadados estruturados para
no estruturados, houve uma mudana significativa na complexidade e nos desafios das organizaes federais americanas, cuja viso tradicional de manuteno de privacidade era focada
principalmente em assegurar confidencialidade, exigindo que se expandisse essa viso a fim de
atender as expectativas dos cidados a esse respeito, que vai alm de segurana da informao
45
(Computer Security Division, 2013). Com este propsito, o documento Controles de Segurana
e Privacidade para Sistemas de Informao e Organizaes Federais (em ingls, Security and
Privacy Controls for Federal Information Systems and Organizations), divulgado pelo NIST
(Computer Security Division, 2013), em Abril de 2013, fornece um conjunto de medidas para
implementao de privacidade, separados em famlias de controles e um roadmap de como eles
poderem ser colocados em prtica. Estas medidas foram baseadas nos Fair Information Practice
Principles, publicados em (Commission et al., 2007), incorporadas no Ato de Privacidade.
Similarmente, no Brasil, a primeira referncia sobre formas de proteo aos dados
pessoais iniciou-se com a Lei N 7232, de 29 de Outubro de 1984, onde se dispe sobre a
Poltica Nacional de Informtica, na qual se estabelecem guias para uma poltica nacional sobre
o desenvolvimento da tecnologia, que determina a criao de meios para proteo do sigilo dos
dados e do interesse da privacidade e de segurana de pessoas fsicas e jurdicas (da Repblica
Casa Civil Subchefia para Assuntos Jurdicos, 1984). Desde ento, a Constituio Federal (1988)
(Senado, 1988), a Lei Geral de Telecomunicaes (1997) (da Repblica Casa Civil Subchefia para
Assuntos Jurdicos, 1997) e o Cdigo Civil Brasileiro (2003) tambm deram sua contribuio na
proteo da privacidade dos dados pessoais.
Mesmo com todos esses mecanismos legais, ainda era possvel encontrar brechas que
permitiam s empresas tirar vantagens de seus consumidores, usando de estratagemas tecnolgicos para gerar lucro. Desde ento, apesar de intensas discusses sobre a necessidade de
adequaes s mudanas tencnolgicas que ocorreram ao longo dos anos, no havia se proposto
uma regulamentao especfica para Internet, levando em conta as tecnologias envolvidas e suas
consequncias.
Desde o primeiro texto, apresentado em 2010, o acontecimento fundamental rumo
concretizao do Marco Civil foi em junho de 2013, quando Edward Snowden, ex-agente
da National Security Agency (NSA), trouxe a conhecimento pblico vrios documentos que
escancaravam os trmites de um monitoramento virtual de propores mundiais, promovidos
pelos americanos contra diversos governos, incluindo o Brasil. A partir de ento, a questo
privacidade ganhou carter de urgncia e, finalmente, em 23 de abril de 2014, a presidente Dilma
Roussef sancionou o Marco Civil, que entrar em vigor em junho do mesmo ano (Seligman,
2014)(Ventura, 2014).
O Marco Civil declara a Internet como sendo fundamental no exerccio da cidadania
em meios digitais e garante o direito de inviolabilidade e sigilo da intimidade e da vida privada
e do fluxo de comunicaes pela Internet. Os fornecedores de servios via Internet tero que
prover informaes claras e completas sobre seus procedimentos de coleta, uso, armazenamento,
tratamento e proteo dos dados pessoais de seus usurios, e podero us-los apenas mediante
propsitos bem especificados, mediante consentimento expresso pelo usurio, sobre cada etapa
do ciclo de vida de seus dados, quando em posse do provedor de servio.
Uma prtica comum entre provedores de servio online que os dados so coletados,
tratados e vendidos a terceiros, que podem colher vantagens a partir dos mesmos. O Marco Civil
46
estabelece como direito do usurio que suas informaes (dados pessoais, inclusive registros
de conexo e de acesso a aplicaes na Internet) no podem ser usadas para um fim diferente
para o qual foram fornecidos, salvo sob consentimento livre e expresso do indivduo ao qual as
informaes se referem (Nacional, 2014).
Como se pode ver, nas trs regulamentaes brevemente descritas, o impacto sutil que Big
Data possui sobre a privacidade das pessoas - mesmo que o termo no tenha sido explicitamente
citado - faz com que os mecanismos legais expressem minuciosamente a conduta esperada de
provedores de servio e empresas de telecomunicao, principalmente no que diz respeito
manuteno a mdio/longo prazo de dados pessoais, de modo que no interfira nos direitos
bsicos das pessoas.
A regulamentao europeia destaca-se por sua rigidez e pioneirismo, caractersticas tais
que estimularam os demais governos a fazer o mesmo e dar maior importncia s questes de
proteo dos dados de seus cidados. O detalhe mais interessante aqui a forma como o texto
foi escrito tornando o indivduo como referncia, ao invs de seus dados; os princpios descritos
podem perfeitamente tornarem-se um guia para engenheiros de usabilidade e desenvolvedores,
no momento da concepo de novas aplicaes.
Por sua vez, as guias de controles de segurana e privacidade propostas nos Estados
Unidos pelo NIST, apesar de extensa, detalhista e de mltiplos papis, oferece uma organizao
mais integrada, dependente de vrias entidades; como possui um foco mais operacional, se
organizado de forma que cada aspecto seja tratado como passvel de evoluo, poderia-se propor
um modelo de maturidade de privacidade, tendo como resultado final uma implementao
completa dos controles especificados.
O Marco Civil, proposto no Brasil, fundamenta-se na relao entre cidados, empresas
e governo, focando-se principalmente na forma como os servios devem ser prestados, com o
intuito de manter privacidade e a intimidade das pessoas. Apesar de ser baseado no modelo
europeu, diferencia-se em seu foco no dado, ao invs de no indivduo, trazendo mais ateno ao
ciclo de vida dos dados, colocando o indivduo como uma ferramenta auxiliar na proviso de
privacidade, possivelmente devido ao seu carter regimentar.
Uma vez estabelecida a relao entre privacidade de dados pessoais, tecnologia e mecanismos legais, a seo a seguir fala sobre alguns conflitos de interesses eles e discorre sobre
propostas encontradas na literatura para mitigar ou minimizar esse conflitos.
3.4. PRIVACIDADE PARA PESSOAS COMO SENSORES
3.4
47
Privacidade Para Pessoas Como Sensores
O propsito principal de CI transformar uma cidade comum, em um ambiente que

proporcione uma melhor qualidade de vida. Neste sentido, a melhor medida de que o objetivo
est sendo atingido so as pessoas, se elas esto satisfeitas, ento o propsito est sendo cumprido.
Entretanto, no h como implementar mudanas e melhorias sem saber o que necessrio mudar
ou alterar e, neste aspecto, assim como na medio de resultados, pessoas tambm so essenciais
(Tene and Polonetsky, 2012). Sendo assim, a justificativa principal deste trabalho no outra,
seno entender como melhor envolver as pessoas nesse processo complexo, e fazer com que
elas sejam parte principal do progresso por meio da evoluo de dados, para conhecimento e,
finalmente, para ao.
dentro deste cenrio de necessidade de dados que surge Big Data, como uma forma de
transformar dados brutos em informao til. Neste ponto, considerando o que foi levantado
na seo anterior, vrios so os desafios e contradies: transparncia, por si s se perde na
forma com que as empresas entregam sua proposio de valor, mais focada em que", do
que em como", i.e., o servio e seus benefcios, no suas entrelinhas; minimizao de dados,
por definio, se contrape Big Data, no qual quanto mais dados teis disponveis, maior a
capacidade de gerao de conhecimento, de descoberta de novas correlaes, atravs de tcnicas
sofisticadas de anlise de dados que, sem uma grande coleo de dados, perdem seus benefcios
sociais e econmicos associados (Rubinstein, 2013); portabilidade de dados, assim como na
transparncia, requer o desprendimento das empresas dos dados que possuem, concordncia em
adotar padres abertos e garantir ao usurio a liberdade de escolha sobre o provedor de servio
que deseja; a prpria extenso de onde se aplicam as regras de privacidade estabelecidas so
questionveis, pelo fato de no se saber de incio o que pode-se descobrir e, digno de meno,
que a nova informao gerada injustamente de posse e conhecimento unilateral.
Algumas alternativas tm sido propostas na literatura, com a finalidade de extrair o
melhor de Big Data sem abrir mo da privacidade dos usurios envolvidos, permitindo que atuem
efetivamente como sensores. A seguir, discutem-se algumas dessas abordagens.
Uma alternativa utilizao rgida de minimizao de dados que, como dito anteriormente, que contraria a utilizao de Big Data em gerar novas informaes a partir de grandes
massas de dados, apesar de contribuir para proviso de privacidade, seria flexibilizar a minimizao e o consenso, enfatizando transparncia, acesso e preciso (Tene and Polonetsky, 2012). Isto
significa que as empresas abririam mo do que hoje tratado como segredo industrial - a forma
como armazenam, manipulam, analisam os dados que possuem - e exporiam publicamente os
dados que possuem, como e quando foram coletados e o propsito esclarecido para qual sero
usados (campanhas de marketing, por exemplo); com isso, seria obtido uma maior confiana por
parte dos usurios, que no exigiriam consenso recorrente devido confiana nos procedimentos
da empresa. Neste caso, no seria essencial que os dados fossem precisos, que refletissem o
cenrio atual; isso faria com que o grau de criticidade em caso de exposio fosse potencialmente
48
menor. Aliado a essas medidas, o acesso dos usurios aos dados seria garantido, permitindo a
manuteno dos dados.
Um dos problemas dessa abordagem que a forma como essa transparncia deve ser
expressa est condicionada ao pblico e a forma como esse pblico entende o servio, forma
como a empresa apresenta suas polticas de privacidade (j que em pesquisas como a apresentada
am (FutureSight, 2012), os usurios admitem a complexidade dos termos adotados nestes
documentos e sua consequente recusa em l-los) e prpria reputao da empresa.
Em (Tene and Polonetsky, 2012) e (Rubinstein, 2013) falam sobre featurization de Big
Data, no qual as pessoas determinam suas polticas, preferncias e termos de compromisso. Esta
abordagem caracterizaria um equilbrio de expectativas nas relaes entre provedor e consumidor
de servios, porm dificilmente cidados comuns tem conhecimento dos mecanismos legais
que o protegem (ou no) e de que forma isso pode ser formalizados para ter validade legal,
resguardando-o de quaisquer futuros problemas com relao a sua privacidade.
Rubinstein (Rubinstein, 2013) ainda vai mais alm da featurization: aposta em uma
relao igualitria entre as empresas provedoras de servios que consomem dados pessoais e
os indivduos consumidores desses servios, na qual se compartilha a riqueza, o lucro, os
benefcios, obtidos pelo acesso e utilizao dos dados.
Nesta abordagem, os usurios teriam acesso aos seus dados, disponveis em um formato
portvel (ou seja, facilmente transfervel e reconhecido de um provedor de servios para outro),
de modo que pudessem utiliz-los a seu modo em aplicaes de seu interesse. Alm de acreditar
que os usurios seriam capazes de especificar suas prprias regras de privacidades, afirma-se
que novas oportunidades de negcio seriam criadas. Isso seria importante, j que tornaria as
organizaes mais preparadas para compartilhar com as pessoas as riquezas que elas mesmas
ajudaram a criar com seus dados; adicionalmente, a portabilidade de dados assumiria importncia
para os indivduos, muito possivelmente envolvendo mesmo queles mais alheios aos seus
direitos. Um exemplo desse tipo de ao o projeto Green Button", desenvolvido nos Estados
Unidos, nas qual os consumidores tem acesso s suas informaes de consumo de energia
disponvel para download, em formato padronizado e fcil de manipular computacionalmente
(Tene and Polonetsky, 2012).
Tene e Polonetsky (Tene and Polonetsky, 2012) argumentam que esse nvel de transparncia e acesso aos dados suscitam srias complexidades legais e de negcios. Em diversas
circustncias garantir acesso a zetabytes de dados, distribudos por inmeros servidores, no
nada trivial. Ademais, para evitar um problema maior do que o que a proposta pretende resolver,
este acesso iria requerer mecanismos aprimorados de autenticao e canais de comunicao mais
seguros, impondo custos e inconvenincias em ambas as partes. Os autores tambm afirmam que,
enquanto se expande esse ecossitema de uso de dados pessoais, se constroem camadas-sobrecamadas sobre as estruturas centralizadas existentes, aumentando o risco de vazamento e acesso
no autorizado aos dados.
Ainda sobre acesso e portabilidade de dados, Swire e Lagos (Swire and Lagos, 2013)
49
criticam que, da forma que os dados so gerenciados hoje, o acesso (ainda que burocrtico)
garantido pelos indivduos limitado por escopo - pelo prprio fato de uma empresa guardar
sobre o indivduo apenas dados que so teis de alguma forma, de acordo com seu domnio - e
por formato (cada empresa armazena os dados da forma que acha melhor). Quando se estabalece
portabilidade de dados, aliado ao direito de acesso, bastaria uma fraude de identidade e todos os
dados pessoais, de uma vida toda, estariam expostos.
Um ponto de vista oposto dado por Searls (Searls, 2012), que prope um conceito que
potencializaria a ideia de portabilidade de dados: o signaling. Ao invs do fluxo atual de proviso
de servios, onde as organizaes de domnios especficos coletam dados de seus usurios com o
propsito de expandir sua fatia de mercado atravs de novos servios, melhorar suas campanhas
publicitrias ou cativar (ainda que por vezes covardemente) mais seus consumidores, seriam os
consumidores que, em posse de seus dados, manifestariam a demanda por bens ou servios no
mercado, sem estar ligado a uma empresa especfica. Os dados no iriam para o provedor de
servio; o servio que viria onde esto os dados.
Esta proposta parece ser promissora. A princpio as empresas teriam um pouco de
resistncia em abrir mo de um trunfo que at ento era delas, mas uma vez compreendido
que dados de diferentes domnios permitem anlises, predies e correlaes mais sofisticadas,
gerando informaes mais ricas que quando isoladas, no levar muito tempo para que surjam
modelos de negcio baseados nesse formato.
Depois de visitadas algumas das alternativas propostas na literatura, v-se que o modelo
de utilizao de dados pessoais requer uma profunda compreenso de diversos apectos envolvidos,
a fim de satisfazer as diferentes partes envolvidas. Entretanto, todos esses problemas assumem
propores menores quando dado aos usurios controle e opes de deciso. Afinal, problemas
de privacidade ocorrem tanto quando os indivduos esto absortos em relao s prticas e direitos
no uso de informaes pessoais, quanto quando esto desinteressados e no engajados. Quando
o envolvimento do usurio gera engajamento, estabelece-se um trade-off equilibrado e explcito
entre exposio e proposio de valor, propiciando a identificao de comportamentos imprprios,
atuar de forma consciente e responsvel, de forma a cumprir a proposta de privacidade. Afinal
de contas privacidade mais que segurana de dados: transparncia, consenso e escolha
(Computer Security Division, 2013; Tene and Polonetsky, 2012; Forum, 2013).
Transladando a discusso para o foco desse projeto, o sentimento que emerge, alm da
necessidade de leis especficas, a importncia da educao, capacidade de conscincia e escolha
das pessoas quanto ao uso geral de seus dados pessoais. Cidades so compostas de cidados e
suas relaes em diversos nveis, desenvolvidas diariamente. O fator crtico em qualquer cidade
de sucesso o seu povo e como eles interagem (Nam and Pardo, 2011). Um exemplo claro de
como a falta de conhecimento das pessoas invalidam o investimento em tecnologia a Cidade
Digital (CD) de Trikala, Grcia. Depois de 6 anos, mesmo com os gastos exorbitantes com
infraestrutura (para manuteno e gerenciamento, mais de e5 milhes) seus habitantes sequer
tinham conhecimento ou utilizavam os servios digitais disponveis (Anthopoulos and Fitsilis,
50
2010).
Uma CI no pode ser baseada somente em tecnologia, j que uma vez que a mesma
torne-se obsoleta a inteligncia se vai; h quem ouse dizer, inclusive, que CIs ideais j nasam
obsoletas (Greenfield, 2013). Sem que uma cidade seja considerada inteligente principalmente
por conta de seus cidados, sem o engajamento das pessoas na mudana de hbitos e que elas
comecem a pensar e atuar de forma inteligente, no possvel criar uma CI. Sendo assim,
uma vez reconhecida a importncia das pessoas para desenvolvimento urbano, identificados
os problemas decorrentes do uso da massa de dados que elas geram, de forma consciente ou
no, e constatado a necessidade da utilizao desses para melhor gesto de servios urbanos,
apresenta-se a necessidade, e por que no dizer, oportunidade, da criao de um meio adequado
de proviso de privacidade, especfico para CI, nas quais as pessoas - os cidados - sintam-se
engajados, no controle, providos de informao suficiente para decises de exposio de seus
dados, em qualquer extenso e, mais que isso, assumam sua posio de agentes de mudana no
processo de smartening de sua cidade.
Com o propsito de entender como a gesto de privacidade vem sendo feita nos ltimos
anos, o captulo a seguir apresenta um estudo sobre diferentes mecanismos de privacidade
para diversos domnios que compe CIs (Smart Grids, Smart Environment, Smart Space, etc)
encontrados na literatura, com o intuito de se entender, identificar necessidades e requisitos
adequados, rumo proposta de um framework de privacidade especfico para CIs.
51
4
Mecanismos de Privacidade em Smart X
I hear, I know.
I see, I remember.
I do, I understand.
CONFUCIUS
Ambientes do futuro so vistos como ambientes inteligentes, conectados, provendo

acesso a recursos, dispositivos e servios disponveis (Hernndez-Muoz et al., 2011). Este
tipo de ambiente pode ser implementado atravs de tcnicas de computao ubqua; qualquer
ambiente, munido de utilizao massiva de sensoriamento distribudo, permite a construo de
uma viso sistmica da cidade (e.g. perspectiva sistema de sistemas) gerando informaes para
fomentar o processo de smartening.
O X do ttulo, refere-se qualquer ambiente ou domnio; por smart (inteligente em
portugus), em Smart X, entende-se a habilidade de sintetizar dados vindos de alguma fonte,
transform-lo em informao til e produzir respostas a serem aplicadas de volta em X, visando
melhorar servios e processos.
A ideia que qualquer entidade imersa nestes ambientes ou domnio sejam capazes de
sentir seu entorno, tornando todo e qualquer aspecto gerencivel dentro dele - quer sejam dados,
entidades ou recursos - permitindo aumentando a qualidade dos servios disponveis, atravs de
informaes geradas por anlises computacionais (Hermann et al., 2009; Bages et al., 2007).
Depois das revelaes recentes feitas por Edward Snowden sobre a espionagem do
governo americano sobre outras naes, o debate sobre segurana e privacidade na Internet
ganhou foco mundialmente (Bird, 2013). Em um contexto similar, o grande volume de dados
provenientes de uma diversidade de ambientes inteligentes tambm levantam questionamentos
sobre privacidade (Balakrishna, 2012). Usualmente segurana de dados est associada a dispositivos conectados, bem como suas interfaces (Simo Fhom et al., 2010; Maisonnasse et al., 2006),
entretanto, quando pessoas so envolvidas, o principal questionamento gira em torno de como
ambientes ubquos, com sua quantidade de informaes pessoais (como dados pessoais, dados
52
mdicos, dados financeiros, etc.) potencialmente vasta, impacta na capacidade de manuteno
da privacidade.
Mtodos tradicionais de exposio segura de dados pessoais no so suficientemente
efetivos. Por exemplo, polticas de privacidade contradizem a forma como os usurios normalmente mantm seus dados privados, exigindo a especificao de preferncias antecipadamente,
de forma abstrata (Bnnig, 2009); exposio baseada somente em interao requer muita ateno
do usurio, anulando a ubiquidade inerente aos ambientes inteligentes; contratos de licena
de usurio final, ou End User License Agreements(EULAs), como so conhecidos, geralmente
encontrados logo que se instala ou se faz o primeiro acesso em uma aplicao ou servio, descrevem quem detm o direito sobre os dados, como [supostamente] sero usados, direitos do
usurio e do provedor do servio/aplicao, e assim por diante. Na grande parte das vezes esses
contratos so extensos e carregados de termos complexos, que repelem a ateno e compreenso
do usurio. Estes mtodos tentam adquirir consenso antecipado por parte do usurio, tirando seu
controle em aes futuras, optando por manter oculto o ciclo de vida (armazenamento, utilizao,
edio, excluso) do dado coletado.
Neste sentido, realizou-se uma reviso sobre os diversos mecanismos de privacidade
propostos para diferentes tipos de ambientes inteligentes. O objetivo da reviso foi entender as
preocupaes existentes quando se lida com privacidade nesses contextos e, como resultado,
extraram-se os principais requisitos que orientaram as propostas e estabelecer um conjunto
bsico de caractersticas que um framework de privacidade deve satisfazer para ser efetivo em
tais domnios. Finalmente, o propsito final identificar um conjunto de requisitos adequados a
um domnio mais amplo, como uma Cidade Inteligente, que compreende domnios menores como casas, escritrios, espaos pblicos, carros, etc) - que serviro de guia no desenlvolvimento
de um framework genrico de privacidade para CIs, responsvel por auxiliar os cidados a
protegerem dados pessoais.
Nas sesses que se seguem, realiza-se uma reviso dos mecanismos de privacidade
propostos para diferentes domnios inteligentes, destacando e discutindo os principais requisitos que abordam e, por fim, fala-se sobre como a reviso contribuiu no direcionamento do
desenvolvimento do framework de privacidade.
4.1. REVISO SISTEMTICA
4.1
53
Reviso Sistemtica
De acordo com (Keele, 2007), uma reviso sistemtica um meio de identificar, avaliar e
interpretar todo material relevante para um questionamento, tpico, ou fenmeno de interesse em
uma pesquisa, sumarizando evidncias sobre uma tecnologia ou assunto especfico, identificando
problemas em aberto na rea em estudo e fornecendo subsdios para o posicionamento de novas
pesquisas.
A reviso realizada no contexto deste trabalho, buscou levantar mecanismos de privacidade aplicados a ambientes inteligentes, na busca de requisitos gerais satisfeitos nas propostas
encontradas, rumo a uma convergncia para proposta de um mecanismo de privacidade especfico
para um contexto maior: uma CI. O objetivo era reunir quaisquer trabalhos que tratassem de
privacidade para algum tipo de ambiente explicitamente declarado como inteligente.
4.1.1
Metodologia
Nesta subseo ser descrita a estratgia de busca adotada e o processo de refinamento

dos resultados. Os passos foram guiados pela recomendaes disponveis em (Keele, 2007).
Para orientar os resultados esperados pela reviso, as seguintes questes de pesquisa foram
estabelecidas:
Questo 1: Quais abordagens de gesto de privacidade j foram propostos (academia/indstria)
dentro do contexto de smart X?
Questo 2: De que forma as arquiteturas para cidades inteligentes j existentes implementam
gesto de privacidade de dados dos cidados?
A primeira pergunta visava recuperar trabalhos que reportem o desenvolvimento de
frameworks ou arquiteturas focadas na proviso de privacidade em algum contexto explicitamente
declarado como inteligente; como o foco final do presente trabalho desenvolver um framework
de privacidade para CI, a segunda pergunta visa identificar trabalhos que tenham denvolvido ou
proposto uma soluo no mesmo sentido.
4.1.1.1
Processo de Busca
O processo de busca seguiu a mesma metodologia empregada em (Keele, 2007), (Chen

et al., 2009) e (Khurum and Gorschek, 2009).
Para realizao das busca, foram elencadas as principais bibliotecas digitais de literatura
cientfica - IEEE Xplore, ACM Digital Library, CiteSeerX, ScienceDirect, SpringerLink e Scopus
- e, na busca de solues propostas na ndustria, utilizou-se o repositrio de patentes do World
Intellectual Property Organization (WIPO). Devido variao na sintaxe adotada pelos motores
54
de busca (Chen et al., 2009), os termos de busca utilizados tiveram que ser adaptados, mantendose equivalentes seu valor lgico e semntico. Os termos de busca utilizados para cada uma das
bibliotecas pode ser encontrados no Apndice A.
A Tabela 4.1 mostra a quantidade de trabalhos encontrados para cada uma das fontes de
dados utilizadas.
Tabela 4.1: Quantidade de trabalhos retornados por biblioteca digital
Fonte de dados
ACM
CITESEERX
IEEE
ScienceDirect
Scopus
SpringerLink
WIPO (Patentes)
Q1
379
139
686
59
822
57
32
Q2
21
0
81
0
109
52
41
A qualidade dos motores de busca pode influenciar no nmero de trabalhos identificados

primariamente, conforme discutido em (Chen et al., 2009). Sendo assim, caso algum outro termo
tenha sido utilizado que no os especificados, alguns trabalhos podem no ter sido includos.
4.1.1.2
Processo de Seleo
Nesta reviso foram selecionadas apenas trabalhos que mencionavam tratar de privacidade para algum tipo de ambiente explicitamente declarado inteligente. Foram envolvidos no
processo 5 pesquisadores, sendo 2 PhDs, 1 doutorando, 1 MSc e 1 mestrando.
A Excluso por Ttulo, consistiu na identificao de trabalhos cujo ttulo sugeria a
descrio de um framework/arquitetura/modelo de gerenciamento de privacidade, aplicado a
algum contexto inteligente, eventualmente especfico para cidades inteligentes; no filtro Excluso
por Duplicao, foram removidos da lista os trabalhos que apareceram em mais de um motor
de busca; na Excluso por Resumo, foram ignorados os trabalhos que, apesar do ttulo adequar
ao escopo da reviso, a descrio do trabalho no condizia com as expectativas levantadas pelo
ttulo; para os trabalhos que o resumo gerou dvida sobre a adequao, o filtro Adequao ao
Contexto da Pesquisa foi utilizado, atravs da leitura da introduo, core da proposta e concluso.
Nos casos em que mais de um trabalho reportava a mesma proposta, manteve-se o mais completo
entre eles.
Ao final, puderam ser acessados 63 trabalhos acadmicos. No foram encontradas
patentes de acordo com o interesse da reviso. Isso provavelmente indica a necessidade de
participao/interesse da indstria no assunto.
O resultado da aplicao de cada filtro est representado na Tabela 4.2.
Na seo a seguir sero estudados diferentes solues de gerenciamento de privacidade
para contextos inteligentes encontradas na reviso, destacando os principais requisitos que visam
atender.
55
Tabela 4.2: Filtros aplicados no processo de reviso
Filtro/Questo
Relevantes
Excluso por Ttulo
Excluso por Duplicao
Excluso por Resumo
Adequao ao contexto da pesquisa
Acessados
Q1
2174
328
238
77
65
45
Q2
304
37
34
19
19
18
4.2. MECANISMOS DE PRIVACIDADE PROPOSTOS PARA SMART X
4.2
56
Mecanismos de privacidade propostos para Smart X
Nesta seo, sero apresentadas as abordagens encontradas na literatura, ordenadas

primeiramente por domnio (Smart Grids, Smart Buildings e Homes, Smart Environments, Smart
Spaces, Smart Health e uma categoria genrica para demais domnios e abordagens) e, dentro de
cada domnio, ordenadas de acordo com sua data de publicao.
4.2.1
Smart Grids (SG)
Um Smart Grid entendido como uma rede eltrica modernizada que usa TICs para
atuar sobre/reunir informaes que representam o comportamento dos fornecedores e consumidores, a fim de melhorar a eficincia, confiabilidade, economia e sustentabilidade da produo e
distribuio de energia eltrica(Pekala, 1991). Nas linhas que se seguem sero apresentadas
abordagens encontradas na literatura para gerenciamento de privacidade neste domnio.
Em (Salehie et al., 2012), Salehi et al. apresenta uma abordagem baseada em segurana
adaptativa, seguindo as recomendaes do NIST (of Standarts and Technology, 2010). Devido
natureza altamente dinmica das Smart grids, segurana adaptativa permite que as regras de
segurana sejam modificadas juntamente com as entidades envolvidas, bem como atuar proativa
e reativamente.
Os autores utilizam um gerenciador de adaptao Adaptation Manager(AM), que monitora e analisa mudanas contextuais na rede e no ambiente em tempo de execuo, a fim de
detectar se algum requisito de privacidade ou segurana no est sendo atendido. Logo que
uma ameaa detectada, o AM decide a ao a ser tomada. O processo de tomada de deciso
adaptativo leva em considerao incertezas e lida com mltiplos objetivos tais como adaptao a
risco (se uma das variveis que caracterizam um risco sofre alterao, as regras de segurana
tambm devem ser alteradas de acordo), mitigao de ameaas privacidade (considerando a
sensibilidade do dado ameaado, histrico de violaes anteriores, etc.) e tomada de deciso
multi-objetivos, na qual se recorre a tcnicas mais sofisticadas, como aprendizagem de mquina,
em caso de conflitos.
Salehie et al. ainda aponta que o envolvimento humano exerce um papel muito importante
no processo de adaptao, atravs da mudana de regras de acordo com as preferncias pessoais
quando algum problema de privacidade detectado: ao invs de ser notificado sobre que ao
foi tomada, o indivduo seria avisado sobre a ameaa, a fim de configurar o comportamento
adaptativo.
Em (Simo Fhom et al., 2010), Fhom et al. descreve um agente gerenciador de privacidade
aplicado ao contexto de Smart grids. Dois cenrios so considerados, a saber, medio dinmica
e tarifao para recursos energticos distribudos. Tais cenrios seriam implementados em
um ambiente totalmente automatizado nas futuras redes de energia, evitando que informaes
residuais revelassem padres de uso e detalhes sobre rotinas dirias. J que a entrada para
57
esses processos so informaes pessoais ou outros tipos de dados diretamente relacionados aos
hbitos de uso e atividades em residncias, escritrio, ou dados de negcio crticos, surgem a
preocupao com o mau uso e a divulgao no controlada de tais dados.
A proposta define vrios componentes projetados para prover funes e protocolos de
privacidade, possibilitando que o usurio tenha diferentes nveis de controle nos dados coletados
e informaes derivadas, expressando suas preferncias com relao como e quem pode ter
acesso a essas informaes. A proposta sustentada basicamento por trs requisitos chaves:
direito do consumidor, onde o consumidor deve ser notificado sobre o tipo de informao e
propsito para o qual seus dados esto sendo coletados; os dados coletados no podem ser
utilizados sem que sejam considerados o consenso e as preferncias do consumidor, alm disso,
deve ser possvel verificar se tais preferncias no foram violadas; proteo dos dados, que
compreende confidencialidade e integridade das informaes durante seu ciclo de vida (coleta,
armazenamento, transporte e processamento), bem como um controle de acesso que refore
o cumprimento das preferncias do usurio e das demais entidades envovidas no processo e;
minimizao de dados, onde os dados pessoais devem ser coletados ou processados somente
quando necessrio, para atender a fins preestabelecidos.
Assumindo a possibilidade de armazenamento de informaes a longo prazo, um mecanismo de Computao Confivel (Mitchell et al., 2005) e virtualizao utilizado, assegurando
comunicao segura com entidades externas, alm do isolamento do ambiente de execuo e
cumprimento das polticas estabelecidas; tanto o usurio pode especificar suas condies de
uso e exposio de dados (como j dito anteiormente), quanto o servio pode determinar os
dados necessrios e condies para sua execuo. Antes que o dado seja efetivamente disponibilizado para uso, realiza-se uma negociao para alinhamento dos interesses representados nas
preferncias de ambas as partes.
Em (Bohli et al., 2010), os autores apontam a adoo de medidores inteligentes de
eletricidade como uma motivao para que os consumidores economizem energia, apresentando
seu consumo em tempo real e enfatizam a decorrente possibilidade de precificao dinmica de
acordo com a relao oferta-demanda. Um problema evidente nesta abordagem que, usando
estas informaes, a distribuidora poderia inferir hbitos do cliente, uma vez que o perfil de
consumo difere entre dispositivos. Para resolver este problema, um mtodo de agregao de
dados usado, de forma que o provedor tem acesso apenas ao consumo total de energia eltrica
de seus clientes, ou grupos especficos de consumidores, bem como a soma do consumo de
energia eltrica dos consumidores durante o perodo de faturamento.
O trabalho prope um modelo de privacidade para mensurar o grau de privacidade que
uma aplicao de medio de energia eltrica por prover, atravs de um jogo criptogrfico na
qual o adversrio deve escolher dois cenrios que, suportamente, deveriam ser indistinguveis
para a aplicao. O desafiante vai ento simular um dos cenrios com o protocolo de medio
inteligente utilizado, coletar os dados trafegados e transcrever o resultado para o adversrio,
que vencer o jogo se puder determinar estatsticamente qual dos cenrios foi simulado.
58
Gong & Li (Gong and Li, 2011) afirmam que a adoo de energias renovveis, ambientalmente corretas, torna os sistemas de energia mais dinmicos, o que implica em relatrios
mais frequentes dos medidores inteligentes, gerados em intervalos de tempo reduzidos para
alguns segundos ou menos, potencialmente expondo os hbitos do usurio. Para evitar que a
presena do usurio seja detectada atravs da intercetao desse reports, os autores propuseram
uma abordagem para disfarce dos dados, que reproduz um padro de transmisso para emular a
presena dos moradores, mesmo quando eles no se encontram na residncia.
No mesmo contexto, Marmol et al. (Marmol et al., 2012) tambm vem reports frequentes como uma ameaa privacidade, apesar de reconhecer que a anlise dos padres de consumo
de energia podem contribuir para aprimorar as previses do uso de energia em um futuro prximo, permitindo aes apropriadas por parte das concessionrias. O trabalho prope uma coleta
agregada de informaes de consumo a nvel de regies geogrficas, expondo apenas os dados
totalizadores, sem expor a medio individual, usando um procedimento chamado additively
homomorphic encryption. Para o envio das informaes, um canal seguro de comunicao
utilizado, utilizando um esquema de credenciais annimas ou credenciais a nvel de grupo, para
evitar a identificao individual.
A medio inteligente tambm o tema abordado em (Sankar et al., 2013). O trabalho
tem como objetivo determinar o consumo atravs de um Modelo Oculto de Markov, definida
pelo estado dos eletrodomsticos subjacentes. Os autores defendem um modelo de privacidade
abstrato, assumindo que uma soluo tecnolgica especfica pode no fornecer a mesma
garantia de privacidade no futuro, alm de que, o que hoje tomamos simplesmente como dados
de medio, em um futuro no to distante, podem ser usados para inferir informaes pessoais
de maneiras desconhecidas no presente.
O framework terico proposto permite quantificar o trade-off entre a utilidade vs. privacidade dos dados mensurados. O filtro battery-based, apresentado em (Kalogridis et al., 2010),
utilizado para disfarar os dados coletados, ocultando a identificao de que aparelhos estariam
ligados. Um modelo de vazamento de informaes usado para assegurar o mnimo de informao possvel sobre uma medio, preservando a utilidade dos dados. Assim, caractersticas
observadas que sugerissem atividades humanas seriam eliminadas, mantendo apenas informaes
teis sobre o consumo de energia.
4.2.2
Smart Buildings e Homes (SBH)
Atravs do controle e integrao dos diferentes eletrodomsticos de uma residncia ou

prdio, possvel criar um ambiente agradvel, respondendo a interpries e preferncias dos
moradores, estabelecendo o que podemos chamar de casas inteligentes (em ingls, Smart homes)
(Li et al., 2008).
Privacidade de informaes de localizao em casas inteligentes o assunto tratado em
(Boyer et al., 2006), onde apresentado um modelo, arquitetura e estudo de caso de distribuio
59
de dados de localizao a partir da infraestrutura de um sistema de automao predial para os

usurios, de uma forma que aborde sensatamente questes de privacidade. O trabalho prope
um Sistema de Informao de Localizao, no qual se permite que os usurios e administradores
de controlem dados sobre as pessoas e objetos monitorados, utilizando informaes geradas a
partir de um sistema de gerncia predial, ou Building Automated System (BAS), em ingls. O
caso de estudo baseia-se no Siebel Center BAS, Urbana, Illinois, no qual se monitora o uso de
leitores de cartes de acesso aos escritrios espalhados pelo edifcio. Esta informao agregada
com dados coletados a partir de sensores de presena e estado das portas, permitindo aos gestores
melhorar as funes de manuteno e responder a incidentes de segurana.
Uma infraestrutura sensvel de privacidade para Smart Home proposta em (Bages
et al., 2007). Visto que a proviso de servios sensveis a contexto depende de sensores e
dispositivos de rastreamento para permitir personalizao de servios, a privacidade torna-se
uma grande preocupao. O trabalho descreve o Sentry@Home, um framework centrado no
usurio, perfeitamente incorporados infraestrutura de software da Smart home, o que permite
que a prpria casa atue como um proxy de privacidade para um indivduo monitorado.
O framework evita a necessidade constante de interveno do usurio disponibilizado
meios para que automatize seu consenso, baseado em preferncias de privacidade adaptveis
e flexveis, dando controle explcito sobre que dado ser exposto, quando, como, para quem e
com quais condies, permitindo tambm o uso do princpio da Negao Plausvel, que garante
a recusa de exposio de alguma informao autorizada anteriormente e o uso de transformaes
e white lies para ocultar ou disfarar o contexto ou a identidade do usurio.
O framework evita a interao constante do usurio dando meios de automao de
consenso baseado em preferncias de privacidade flexveis e adaptveis e d controle explcito
sobre quais dados esto expostos, como, para quem e com que restries. Adicionalmente, o
usurio pode incluir rudos ou ambiguidade nas informaes, dificultando descoberta de padres,
associao ao proprietrio ou mesmo comprometendo sua utilidade.
Em (Mouratidis and Giorgini, 2007), o projeto System Engineering for Security and
Dependability(SERENITY) assesta questes de privacidade em smart home empregando padres
de segurana, oferecendo aos usurios inexperientes o pacote de padres de segurana e dependabilidade SERENITY. Este pacote incluiu solues de segurana validado por profissionais
experientes e implementaes testadas e de facilmente implantao.
A soluo foi implementada utilizando Arquitetura Orientada a Servios. Para garantir a
confidencialidade, foi implementado um mecanismo de autorizao; recursos de logging foram
implementadas, facilitando auditorias em caso de violao de privacidade; ambos os mecanismos
representam padres de segurana. Um esquema de integrao tambm fornecido, responsvel
por garantir a confidencialidade dos recursos distribudos, implementado como uma combinao
dos padres de segurana mencionados anteriormente.
O trabalho descrito em (Moncrieff et al., 2008) apresenta uma forma para se encapsular
uma poltica de gesto de privacidade dentro de mtodos usados para controlar o acesso aos
60
dados coletados. O framework proposto implementa privacidade dentro do ambiente de uma

casa inteligente, fornecendo uma interface entre a implementao de privacidade e o residente,
determinando dinamicamente os dados que um observador pode acessar, dado seu contexto. As
preferncias do usurio definem o nvel de privacidade, minimizando a intruso no cotidiano dos
moradores, enquanto as aplicaes tm informao suficiente para desempenhar as suas funes
de forma satisfatria.
Inicialmente, necessrio coletar informaes contextuais (quem, onde, como, o que, por
que) sobre o ambiente. Depois disso, o contexto deve ser interpretado e as medidas necessria
devem ser estabelecidas. Se nenhuma medida for necessria, os dados so enviados para
a aplicao que vai consum-los; caso contrrio, o filtro de privacidade determinar o nvel
adequado de privacidade usando uma abordagem baseada em regras, incorporando as preferncias
predefinidas. Em seguida, o filtro de dados vai usar alguma tcnicas para ocultar ou obscurecer
os dados, a fim de implementar o nvel de acesso aos dados apropriado; finalmente, os indivduos
que esto sendo monitorados sero capazes de ajustar o filtro de privacidade (se necessrio)
baseado nas informaes disponibilizadas pelo componente de feedback e controle.
4.2.3
Smart Environment (SE)
Um Smart Environment pode ser considerado como uma materializao do que foi
dito por Mark Weiser em (Weiser et al., 1999) - um mundo fsico amplamente observado por
sensores, atuadores e manipulados por outros componentes de TIC, perfeitamente incorporados
nos objetos do nosso cotidiano e conectado atravs de uma rede ininterrupta. Os pargrafos
seguintes descrevem abordagens de privacidade adequadas para tal contexto.
Em (Van Heerde et al., 2006), Heerde et al. aponta que informao assimtrica o cerne
do problema de privacidade em computao ubqua; quando isso acontece, h uma assimetria
entre as informaes em posse de provedores e consumidores, pois diferentes tipos de sensores
podem ser espalhados em um determinado ambiente, capturando dados sem que as pessoas
tenham conscincia e/ou consintam.
O trabalho afirma que, a inteligncia de uma aplicao proporcional quantidade e
qualidade dos dados que podem usar; quanto maior e mais preciso os dados coletados, mais a
aplicao pode aprender o usurio sem solicitar sua interveno. Com isso em mente, os autores
afirmam que os mecanismos tradicionais de privacidade - tais como polticas de privacidade e
anonimizao - no garante a proteo adequada, j que suas regras no se adaptam dinamicamente de acordo com mudana no ambiente, nem mesmo esto aptas a cobrir aplicaes que
usam dados contextulizados para inferncia (os chamados propsitos no atmicos, que no se
podem dizer estar cumpridos ou no).
Polticas de Ciclo de Vida a abordagem escolhida pelos autores, em que os atributos
armazenados degradam progressivamente de acordo com a poltica definida, quando condies
especficas forem satisfeitas (estas polticas so especificados pelo usurio). Os eventos so
61
descritos por atributos, usados para represent-los graficamente em um espao n-dimensional,

onde cada dimenso representa a preciso de um atributo da tupla de dados original. O estado
final de um evento desencadeia a excluso do atributo ou resulta em um atributo totalmente
degradado (sem preciso alguma).
Smart environments tambm so o foco na arquitetura proposta em (Lioudakis et al.,
2007). Um middleware distribudo define um domnio seguro para privacidade de informaes
sensveis; sempre que alguma informao chega nele, um mecanismo de direitos de acesso
baseados em polticas define uma barreira para o consumo de informaes em nome dos servios
e mecanismos de controle, atuando como um proxy para o fluxo de dados pessoais.
Paralelamente, como polticas predeterminadas no permitem que o usurio possa lidar
com informaes complexas em situaes no previstas, (Bnnig, 2009) prope um sistema de
exposio ad-hoc1 para uma gesto de privacidade mais dinmica e intuitivo.
Estudou-se o comportamento de exposio de infomaes pessoais dos usurios a fim
de se compreender como eles correlacionam a situao informao exposta; especificamente,
como os dados relevantes para exposio so determinados e em que nvel de abstrao, com que
rigor um sistema pode reproduzir o comportamento humano em tais situaes e como um usurio
interagiria com um sistema com tais capacidades. Um experimento foi desenvolvido para avaliar
como os usurios lidavam com o fluxo de informaes pessoais em servios tpicos encontrados
em smart environment. Estes estudos deram o fundamento necessrio para o desenvolvimento
do sistema de exposio ad-hoc acima mencionado.
Uma abordagem mais simplista mostrada em (Lupiana et al., 2010). Indivduos foram
associados aos seus dispositivos mveis, com Bluetooth ou tag Radio-Frequency IDentification
(RFID); locais identificveis foram associads com os identificadores exclusivos de seus sensores
embutidos, neste caso, antenas Bluetooth e leitores RFID. Quando um sensor detectava um
dispositivo, significava que um determinado usurio estava presente em um local especfico,
permitindo uma aplicao dar o apoio adequado, quando necessrio. Esta abordagem reduz a
quantidade de informaes pessoais a serem recolhidos, de acordo com os autores, aumentando
a chance de manter a privacidade do usurio, bem como a aceitabilidade de smart environments.
Territrio pessoal refere-se um espao pessoal demarcado por limites fsicos, como
paredes e portas de uma sala; com o domnio da computao ubqua e smart environments,
territrios pessoais so elevados a uma extenso virtual queles limites, o que significa que no
somente entidades com acesso fsico podem interferir neles, mas tambm a todos/tudo que possui
acesso virtual a ele. Neste contexto (Knings et al., 2010) prope um modelo para privacidade
territorial centrado no usurio, que engloba observadores fsicos e virtuais. O modelo permite
a definio de limites, incluindo o territrio fsico e virtual, bem como que entidades esto
autorizados a interferir no territrio privado e como. Os canais de comunicao so estabelecidas
entre os observadores de interesse, gerando vrios territrios virtuais sobre o mesmo territrio
1 Formado,
05/05/2014.
arranjado ou feito para uma finalidade especfica. Fonte: http://bit.ly/1fIZ2mS, acessado em
62
fsico.
Heinroth & Minker (Heinroth and Minker, 2011) afirmam que a natureza autnoma dos
smart enviroments, a acessibilidade a grandes quantidades de informaes pessoais e sua presena
transparente em nossos ambientes habituais, levantam vrias questes de privacidade para seus
residentes. O trabalho descreve o mecanismo de proviso de privacidade - ATRACO - baseada
na correspondncia entre polticas e controle de acesso. Alguns aspectos foram considerados
requisitos bsicos a serem atendidos:
Fidelidade s preferncias do usurio;

Confiana e Contexto para definio da privacidade a ser aplicada quando dados
sensveis forem requisitads ou o usurio solicitar reduo nas intervees e monitoramento;
conscincia dos usurios sobre o uso de seus dados.
As preferncias do usurio so representadas como polticas de privacidade, que descrevem em que condies e contexto as informaes pessoais podem ser tratados, ou a interao
pode ser iniciada, durante uma atividade qualquer do usurio. Quando um evento que ameaa a
privacidade ocorre, o gerenciador do ATRACO recupera as polticas relacionadas e informaes
contextuais para processar e fornecer os resultados para o controlador correspondente, que ir
utilizar os resultados para prover privacidade da melhor forma possvel. Se algum conflito ocorre
durante o processo, o usurio pode ser solicitado para estabelecer uma resoluo, como por
exemplo, modificar suas polticas ou adicionar alguma exceo poltica existente.
4.2.4
Smart Spaces (SS)
De acordo com a literatura, Smart Spaces - a unidade fsica mnima capaz de conter
usurios - so espaos inteligentes que consistem de dispositivos heterogneos (sensores, computadores, dispositivos dos usurios, etc.) capazes de cooperar de forma dinmica e permitir aos
usurios interagir e prover servios em seu domnio (Suomalainen and Hyttinen, 2011; Cho et al.,
2004). A seguir, sero tratados os mecanismos de gesto de privacidade encontrados, aplicadas a
este domnio.
Em (Cho et al., 2004), os autores afirma que, para minimizar ou poupar interaes com o
usurio em espaos inteligentes, os servios so comumente invisveis para os usurios, o que
aumenta o risco de violao de privacidade.
Para prover estes servios, geralmente necessrio coletar cada vez mais dados do
usurio, nestes casos, necessrio que se assuma o papel de sistema de vigilncia para evitar
que os dados pessoas sejam expostas. Neste contexto, os autores apresentam um mecanismo de
proteo da localizao do usurio em Smart Spaces.
63
Quando os atributos de identificao e preferncias do usurio se enquadram na categoria

de dados pessoais, um Espao de Proteo de Privacidade estabelecido para prevenir que
informaes privadas sejam expostas. Sempre que o espao identificar a presena do usurio, um
mecanismo no intrusivo de autenticao iniciado, removendo ou minizando a interveno do
usurio; uma vez autenticado, o usurio tem permisso para consumir vrios servios, interagindo
com o espao atravs de comunicao direta ou indireta (quando o dispositivo do usurio se
comunica com o espao em seu nome).
O trabalho trata especificamente de dados relativos localizao. A fim de minimizar a
intruso nas atividades do usurio e prover servios transparentes e proativos, o prprio espao
deve coletar informaes sobre a localizao do usurio, o que pode incorrer em violao de
privacidade devido ao mau uso ou abuso. Para resolver este problema, o usurio pode gerenciar
suas informaes de localizao e especificar suas regras de exposio atravs de polticas.
O trabalho apresentado em (Maisonnasse et al., 2006) prope uma abordagem perceptual
baseada em interaes entre humanos e objetos, tratando do usurio e seus relacionamentos da
melhor forma para garantia de privacidade. O trabalho quantifica os relacionamentos especificando quem presta ateno em quem/qu, assumindo que o foco de um indivduo seleciona que
objetos estaro em sua mente; as relaes de ateno (ou foco) homem-objeto so quantificadas
atravs de um nmero que representa a fora dessa ligao.
O framework pode delimitar privacidade estabelecendo quais objetos so comuns e quais
so especficos entre diferentes usurios, de forma que a delimitao de privacidade possa ser
definida computacionalmente. Um modelo de ateno, baseado em (Sperber et al., 1986), foi
proposto como uma adaptao do Modelo Gravitacional, especificamente a 1 Lei da Gravitao
Universal - formulada por Isaac Newton no incio do Sculo XVII - para simular a atrao da
ateno de um indivduo para uma pessoa ou objeto.
A ateno calculada como uma combinao linear de fatores internos e externos. O
fatores internos so determinados pelo objetivo ou tarefa atual do indivduo; os fatores externos
so determinados pela atrao da ateno vinda de outras pessoas, objetos e/ou artefatos, que
compartilham o mesmo ambiente. Cada pessoa, ou objeto, tem uma massa que permite calcular
o vetor de atrao de cada pessoa em direo a outras, bem como objetos prximos, usando
o modelo gravitacional. Quando a ateno de algum vista como focada em algum recurso
previamente configurado como privado, uma ao predefinida disparada para evitar violao
de privacidade.
Em (Liampotis et al., 2009) apresentado um framework de privacidade para o autoaperfeioamento de espaos inteligentes pessoais - do ingls Personal Smart Spaces (PSSs). PSSs
so um conjunto de servios especficos, controlados ou administrados por um nico usurio,
disponibilizados dentro de um espao dinmico de dispositivos conectados. Esses servios
compe um ambiente ubquo, no qual os dispositivos so colocados, coletando dados dos
usurios de forma transparente, estabelecendo seu perfil sem avis-lo ou obter seu consentimento.
O risco de exposio de dados em tais contextos muito alto.
64
O trabalho lida especificamente com identidade digital, i.e., conjunto de atributos de

utilidade para algum servio. Logo que o interesse de consumo de um servio manifestado pelo
usurio, uma negociao entre os requisitos do servio e as preferncias do usurio executada,
estabelecendo um estado de compatibilidade entre o PPS e o provedor do servio. Depois disso
a identidade necessria recuperada (ou gerada, caso no tenha sido encontrado uma que esteja
adequada aos requisitos acordados com o Provedor de Servio (PS)) e a proviso do servio
pode ser iniciada.
O framework proposto foi dividido da seguinte forma:
O Gerenciador de Identidades gerencia as mltiplas identidades digitais do usurio e

seleciona a identidade aplicvel para cada transao (uso de algum servio);
O Gerenciador de Privacidade gerencia polticas e preferncias, avalia preferncias
e gera polticas a serem usada no processo de negociao de privacidade. Se alguma
modificao identificada durante a proviso do servio, este mdulo dispara uma
avaliao das preferncias de privacidade, que pode levar a uma nova negociao de
polticas ou a requisio de uma nova identidade;
O Gerenciador de Confiana responsvel por estabelecer o conceito de confiana
dentro do framework, lidando com [re]avaliao de confiana entre pares de PSSs,
com base no histrico de interao e, por fim, inferir o nvel de confiana quando
nenhuma relao fo estabelecida anteriormente.
Modelos de servio contemporneos prometem servios personalizados para todos os

usurios, a qualquer hora, em qualquer lugar. Para que um servio seja satisfatoriamente
personalizado, os provedores de servio precisam reunir informaes suficientes sobre o usurio,
a fim de prover uma experincia mais sofisticada e uma informao de maior valor agregado.
Tamanha quantidade de informao levanta srias preocupaoes entre consumidores de servios.
Considerando tal cenrios, Oyomno et al. (Oyomno et al., 2011) afirma que a preservao da privacidade por diversos PSs produz inmeras solues heterogneas e incompatveis,
especficas para servios e aplicaes. Para resolver este problema, os autores propes um
sistema de aplicao de polticas de privacidade para servios ubquos, capaz de alterar dinamicamente o uso das polticas e as respectivas preferncias do usurio, com o objetivo de padronizar
a representao e negociao da troca de informaes pessoais entre os consumidores e provedores de servios em espaos inteligentes. Consumidores de servio podem definir polticas de
exposio de dados e determinar quais informaes pessoais podem ser compartilhados com
os provedores de servio. O tratamento das informaes pessoais, espcificado nas polticas de
privacidade, supervisionado por uma autoridade escolhida para este fim.
Um conceito interessante apresentado neste trabalho o nvel da invaso de privacidade,
calculado levando-se em considerao a sensibilidade das informaes pessoais solicitadas e a
forma como sero tratadas.
4.2.5
65
Smart Health (SH)
Smart Health visto na literatura como uma soluo para facilitar o acompanhamento
mdico de indivduos cuja condio requer cuidados constantes, atravs de monitoramento e
cuidados mdicos em domiclio (Townsend et al., 2011). Nos pargrafos que se seguem, sero
vistas solues propostas para gerenciamento de privacidade neste domnio.
Em (Busnel et al., 2008) descrita uma assistncia de sade para residncias, com foco
em atender uma populao crescente de idosos, suscetveis a problemas de sade, que podem
levar a perda de autonomia e maior fragilidade, com consequente reduo da qualidade de vida.
De acordo com os autores, desenvolvedores de aplicao para estes ambientes geralmente
no so experts em segurana, sendo assim, o trabalho prope a utilizao de padres de
segurana, que eles disponibilizam atravs de Application Programming Interfaces (APIs), para
fornecer as solues necessrias para aplicaes desenvolvidas para tal domnio. Um padro
de segurana descreve um problema de segurana particularmente recorrente, que surge em
contextos especficos, apresentando uma soluo genrica comprovada.
O uso de TICs na rea da sade tem permitido que pessoas debilitadas, especialmente
idosos, possam ser assistidas a domiclio. Com o uso de sensores, pode-se monitorar desde o ambiente domstico at os sinais vitais do paciente, estabelecendo um perfil mdico extremamente
preciso e atualizado. O problema que a gerao desse tipo de dados oferece oportunidades de
violao de segurana e privacidade, tornando-se crtico que os dados coletados sejam protegidos
e gerenciados, visando fazer com que as pessoas sintam-se seguras quando utilizando aplicaes
inteligente de cuidados mdicos domiciliar.
Guennoun & El- Khatib (Guennoun and El-Khatib, 2009) apresentam uma arquitetura
para controle de acesso baseado em contexto, para cumprir as exigncias de segurana da
proteo de dados mdicos, na qual a autorizao de acesso ser decidida tendo em conta a
identidade do solicitante e as condies mdicas (contexto) do paciente.
A arquitetura tem trs componentes principais: a) um gerenciador de contexto e coleta
de dados - responsvel pela coleta de informaes contextuais e de sade a partir de informaes
dos residentes de uma casa; b) o gerenciador de controle de acesso, que recebe as solicitaes das
aplicaes para acessar os dados mdicos, realiza a autenticao e, utilizando dados contextuais
do banco de dados, avalia as polticas de controle de acesso para decidir se permite ou nega
o acesso aos dados; c) o banco de dados, composto por um conjunto de dados mdicos e
contextuais.
4.2.6
Outros domnios e Abordagens (OD)
Em (Vagts et al., 2009) proposto o NEST, um framework para segurar privacidade em

sistemas de Smart Surveillance. Ao contrrio de sistemas de vigilncia tradicionais, que operam
sob uma abordagem orientada a sensores, a arquitetura do NEST opta por uma abordagem
orientada a tarefas, desde a utilizao de um recurso at algum passo do processamento. Os
66
dados revelevantes, coletados diretamente dos sensores do sistema de vigilncia, so agrupados

ao OOWW (Object-Oriented World Model) (Bauer et al., 2009), responsvel por assegurar
privacidade juntamente com o Gerenciador de Privacidade.
Por sua vez, o Gerenciador de Privacidade composto por um Anonimizador, que alm
de anonimizar os dados, tambm remove informaes irrelevantes dos dados coletados; como
todas as informaes est sujeitos a direitos de uso, um Gereciador de Direitos Digitais assegura
que os dados sero usado apenas em um contexto especfico para o qual foram coletados, durante
a execuo da tarefa correspondente; um Gerenciador de Identidades, que gerencia todos os
objetos e suas entidades; um mdulo para Execuo de Privacidade responsvel por aplicar leis e
princpios, baseados em (Publishing and OECD. Publishing, 2002) e; um mdulo de interao,
atravs do qual os usurios observados podem gerenciar seus dados pessoais.
Alm dos domnios estudados, outros como Smart Surveillance (Vagts et al., 2009) e
Smart Cars (LUO, 2004) podem ter seus prprios mecanismos de privacidade.
Alm dos mecanismos de privacidade reportados nesta reviso, alguns outros podem
ser estudados para reforar a implementao de privacidade em contextos inteligentes, como
credenciais annimas (Cheung et al., 2011), custdia de terceiros (Efthymiou and Kalogridis,
2010), pseudnimos (Roduner, 2003), Gateways (Simo Fhom et al., 2010), moderadores de
assinatura de carga (Kalogridis et al., 2010) e esquemas de autenticao para proviso de
privacidade (Chim et al., 2011; Siddiqui et al., 2012).
Depois de ter estudado todas as abordagens descritas, levantaram-se alguns requisitos
comuns de privacidade, que sero discutidos na seo seguinte.
4.3. REQUISITOS COMUNS
4.3
67
Requisitos Comuns
Nesta seo sero discutidos os requisitos identificado relacionando-so aos trabalhos que
os implementam, como mostra a Tabela 4.3. Entende-se que um trabalho satisfaz determinado
requisito se ele possui um componnte, processo e/ou tcnica especficos que implementa a
soluo representada por cada requisito, como segue:
Tabela 4.3: Uso de requisitos de privacidade em Smart X por domnio estudado
Requisito
Anonimizao
Aplicao de polticas
Reputao
Controles adaptveis
Controle de acesso
Controle/Feedback do usurio
Correspondncia de Interesses
Degradao de dados
Disfarce de dados
Especificao de preferncias
Histrico de interao
Interao mnima com o usurio
Minimizao de dados
Mltiplas identidades
Responsabilidade
Sensibilidade de dados
Tipo/Propsito da informao
SG
SB
2
1
3
1
1
2
3
SE
4
1
SS
1
2
1
1
1
1
3
SH
3
1
1
SC
1
1
1
1
OD
2
1
1
2
1
2
2
1
1
2
1
1
2
1
1
4
2
2
3
1
1
O requisito responsabilidade - do termo em ingls accountability - tratado em (Roduner, 2003) e refere-se ao compromisso que uma pessoa/organizao assume quando faz parte
de uma transao; especificamente, quando consumindo/provendo um servio, os registros de interao dessa entidade devem ser associados a sua identidade a fim de se permitir o rastreamento
dessa transao futuramente.
Degradao de dados, usada em (Van Heerde et al., 2006), associa uma taxa de degradao a dados sensveis, de forma que se torne eventualmente intil, devido sua perda de
preciso.
Em (Sankar et al., 2013; Bages et al., 2007; Gong and Li, 2011; Moncrieff et al., 2008)
o disfarce de dados aplicado para esconder identidade e contexto do usurio, ou mesmo
emular suas atividades para evitar identificao de hbitos pessoais.
Sensibilidade de dados (ou grau de invaso de privacidade), encontrado em (Salehie
et al., 2012; Sankar et al., 2013; Boyer et al., 2006; Moncrieff et al., 2008; Oyomno et al., 2011),
mensura, como o prprio nome diz, quo sensvel um dado pessoal a fim de estabelecer as
regras apropriadas para sua manipulao.
Em (Liampotis et al., 2009) apresentado um mecanismo para estabelecer reputao,
68
que til quando o usurio vai consumir um servio oferecido por um provedor desconhecido,
no possuindo parmetro algum para determinar sua reputao.
Minimizao da interao do usurio vista por (Bages et al., 2007; Cho et al., 2004)
com um requisito importante quando se trata de servios ubquos. Quanto menos o usurio
tiver que dispender tempo inserindo dados, mais agradvel ser sua interao. Particularmente,
a menos que se garanta um comportamento cognitivo da aplicao quanto s preferncias do
usurio prximo do perfeito, este requisito no pode ferir nem o consentimento explcito, nem a
convenincia, por que afetaria diretamente a proviso de privacidade.
O controle de acesso, mesmo sendo tradicionalmente utilizado em sistemas de informao aplicados aos mais diversificados domnios, (Simo Fhom et al., 2010; Heinroth and Minker,
2011; Boyer et al., 2006; Mouratidis and Giorgini, 2007; Liampotis et al., 2009; Lioudakis et al.,
2007; Guennoun and El-Khatib, 2009; Knings et al., 2010) apontam este requisito como sendo
um mtodo com contribuies efetivas na busca de evitar que dados pessoais sejam acessados
por entitades no autorizadas.
Em (Liampotis et al., 2009; Vagts et al., 2009; Roduner, 2003), anonimizao usado
como uma alternativa para evitar que, baseado em diferentes subconjunto de atributos pessoais,
um indivduo seja identificado.
O conhecimento dos propsito e tipo de informao considerado um requisito importante, j que determina que dados esto sendo capturados e para quais propsitos sero usados.
Os trabalhos que implementam este requisito so (Bages et al., 2007; Simo Fhom et al., 2010;
Bohli et al., 2010; Boyer et al., 2006; Moncrieff et al., 2008; Oyomno et al., 2011; Guennoun
and El-Khatib, 2009; Vagts et al., 2009).
Um outro requisito levantado em (Liampotis et al., 2009; Vagts et al., 2009; Roduner,
2003), o histrico de interao, que registra cada ao do usurio ao interagir com um servio,
permitindo, por exemplo, que os provedores de servio sejam avaliados de acordo com interaes
anteriores, estabelecendo sua reputao, e tambm extrair preferncia do usurios quanto a regras
pessoas de exposio/no exposio de suas informaes de acordo com o contexto.
Mltiplas identidades um requisito essencial que justifica a adequao de servios
a contextos, satisfeito em (Liampotis et al., 2009; Vagts et al., 2009; Roduner, 2003), no qual
dados pessoais so gerenciados e, para cada transao, um conjunto adequado de atributos
usado como identidade, evitando que todo seu perfil seja revelado.
Correspondncia de interesses, encontrado em (Simo Fhom et al., 2010; Cho et al.,
2004; Liampotis et al., 2009; Westin, 1968), compreende as preferncias de ambos os lados da
proviso de servio - provedor e consumidor - ajustando as caractersticas do servio aos dados
disponveis para exposio.
Controles de privacidade adaptveis elevam os servios ubquos de um configurao
de exposio esttica e preconfigurao para uma dinmica, aderindo eles um comportamento
flexvel. Este requisito implementado em (Bages et al., 2007; Salehie et al., 2012; Oyomno
et al., 2011; Busnel et al., 2008).
69
Aplicao de polticas, requisito encontrado em (Simo Fhom et al., 2010; Mouratidis

and Giorgini, 2007; Liampotis et al., 2009; Oyomno et al., 2011; Lioudakis et al., 2009; Vagts
et al., 2009), indica uma entidade especfica na arquitetura ou framework cuja responsabilidade
assegurar que nenhuma poltica de privacidade est sendo violada.
Minimizao de dados, aplicado em (Simo Fhom et al., 2010; Bohli et al., 2010; Sankar
et al., 2013; Moncrieff et al., 2008; Lupiana et al., 2010; Guennoun and El-Khatib, 2009; Vagts
et al., 2009), sugere que os dados pessoais requeridos/providos por/para um provedor de servio
deve ser estritamente necessrio para proviso do servio em nvel satisfatrio.
Controle/Feedback do usurio assegura que o usurio estar totalmente consciente de
quais dados, quando, como, por quanto tempo e por que; tambm garante que possa alterar ou
negar o uso de seus dados quando quiser, bem como estabelecer suas preferncias sobre em quais
contextos seus dados podem ser usados. Este requisito pode ser encontrado em (Bages et al.,
2007; Simo Fhom et al., 2010; Cho et al., 2004; Heinroth and Minker, 2011; Salehie et al., 2012;
Gong and Li, 2011; Boyer et al., 2006; Moncrieff et al., 2008; Guennoun and El-Khatib, 2009;
Vagts et al., 2009).
Especificao de preferncias diz que ambos lados envolvidos na proviso de um
servio pode determinar suas prprias condies, seja para prover (ou no) dado ou servio.
Este requisito foi o mais predominante, sendo encontrado nos seguintes trabalhos (Bages et al.,
2007; Simo Fhom et al., 2010; Maisonnasse et al., 2006; Cho et al., 2004; Heinroth and Minker,
2011; Moncrieff et al., 2008; Van Heerde et al., 2006; Lioudakis et al., 2007; Liampotis et al.,
2009; Oyomno et al., 2011; Busnel et al., 2008; Lioudakis et al., 2009).
4.4. RESULTADOS DA REVISO
4.4
70
Resultados da Reviso
A reviso apresentada consistiu de um conjunto de mecanismos de privacidade propostos

para diferentes tipos de domnios inteligentes. O objetivo era entender as preocupaes que
surgem quando se lida com privacidade em tais contexto e, como resultado, extrair os principais
requisitos para os quais foram dirigidos os esforos na literatura estudada. A inteno era se
estabelecer um conjunto de caractersticas bsicas que um framework de privacidade deve ter
para ser efetivo em tais domnios.
Deve-se lembrar que, depois de iniciado o estudo como um reviso sistemtica, executouse uma pesquisa exploratria na qual foram encontrados trabalhos mais interessantes que na
reviso sistemtica. Portanto, devido sua natureza exploratria, possvel que algum trabalho
importante ainda no tenha sido incluso, apesar dos esforos exaustivos dos pesquisadores
envolvidos.
Baseado nos trabalhos relacionados ao gerenciamento de privacidade em Smart X,
descobriu-se que a maioria das solues de privacidade so implementadas como um conjunto de regras, ou polticas, s quais informaes pessoais devem ser submetidas a fim de
se determinar o que pode, ou no, ser exposta. Tambm descobriu-se algumas abordagens
interessantes (e incomuns) para melhorar a implementao de solues de privacidade, tais como
degradao de dados e sensibilidade de dados.
Como pode ser observado na Tabelas 4.3, baseado nos trabalhos estudados no se
identificaram grandes preocupaes com privacidade em domnios como Smart Health e Smart
City. Entretanto, o domnio de Smart Places o que cobre a maioria dos requisitos identificados.
Na verdade, muitos desses requisitos so satisfeitos no framework proposto em (Liampotis et al.,
2009). Notou-se tambm a escassez de propostas de gesto de privacidade para o domnio
de interesse deste trabalho, Cidades Inteligentes, indicando uma grande oportunidade para o
desenvolvimento da proposta a ser apresentada.
Na maioria dos requisitos implementados pelos trabalhos estudados pode-se identificar a
falta de envolvimento do usurio, resumindo se a solues puramente tcnicas. Isso pode ser
visto como um problema, j que no h como avaliar o quo eficaz a soluo proposta, com
base em feedback de usurio. Alm disso, quando o usurio no est envolvido na soluo, ele
pode optar ou por no fornecer dado algum - tirando a razo de ser de ambientes inteligentes,
que melhorar a qualidade de vida das pessoas - evitando qualquer tipo de exposio, ou ele
pode, de alguma forma, perder o controle de seus prprios dados sem visibilidade de em que
extenso sero usado, por quanto tempo, por quem, etc., fazendo com que a soluo seja efetiva
somente em um cenrio ou domnio extremamente limitado.
Depois de avaliar como os requisitos levantadas por este trabalho se encaixariam no
contexto de cidade inteligente, pde-se encontrar evidncias da importncia da construo de
um framework para detalhar princpios e diretrizes para privacidade de dados em domnios
inteligentes como um todo. Sendo assim, o captulo que se segue concentra-se na construo
4.4. RESULTADOS DA REVISO
71
do framework de privacidade, focado na preservao do cidado dados pessoais, incentivando

engajamento, dando controle conveniente ao usurio e assegurando gerencimento durante todo o
ciclo de vida de seus dados nestes domnios inteligentes.
72
5
Go!SIP, O Framework
I can accept failure, everyone fails at something.
But I cant accept not trying.
MICHAEL JORDAN
Este captulo vai apresentar o framework de privacidade para pessoas como sensores em
CIs proposto neste trabalho, baseado nos conceitos tericos, problemas e contextos descritos
anteriormente.
O nome escolhido para futuras referncias ao mesmo foi Go!SIP. O Go! (do verbo
ir, avanar, em ingls) uma aluso ao estmulo exposio segura de dados, atravs das
diretrizes propostas neste trabalho; o SIP uma sigla para Smart Identification Privacy (do
ingls privacidade de identificao inteligente); por sua vez, o nome O Go!SIP um trocadilho
oportuno da palavra gossip, que o verbo em ingls para fofocar, bisbilhotar, mexericar.
No captulo anterior, foi apresentada a reviso que destacou os principais requisitos
abordados em propostas de mecanismos de privacidade, aplicados em diferentes domnios
inteligentes. No total, foram levantados 19 requisitos, como mostra a Tabela 4.3. Sendo a
ideia deste trabalho prover privacidade dentro de um paradigma centrado no usurio, em uma
discusso com os pesquisadores que participaram da reviso reportada no captulo anterior, 13
requisitos entendidos como adequados proposta do framework foram selecionados e sero
apresentados a seguir. Os demais requisitos no foram inclusos pois tratavam-se de caractersticas
mais especficas, que foram reservados para serem adicionados medida que a proposta evoluir,
em trabalhos futuros (como o caso da reputao, anonimizao e disfarce de dados).
Aplicao de Polticas
Correspondncia de interesses
Degradao de dados
73
Histrico de interao
Minimizao de dados
Reputao
Responsabilidade
A partir da seo que se segue, ser apresentado como o Go!SIP foi concebido, bem
como a descrio de cada uma de suas partes.
5.1. DESCRIO DO GO!SIP
5.1
74
Descrio do Go!SIP
A composio do Go!SIP foi iniciada com a seguinte observao: a forma como cada
requisito materializava sua contribuio na privacidade era diferente. O requisito Anonimizao,
por exemplo, contribui atuando diretamente no dado a ser exposto, diferente da Especificao
de Preferncias - que envolve a figura do usurio e do Provedor de Servio para determinar
suas condies de exposio - ou ainda da Correspondncia de Interesses, que remete prpria
dinmica de como o servio equilibra os interesses envolvidos na proviso/consumo do servio.
Baseado nesta observao, criou-se uma organizao para os requisitos extrados, agrupando-os de acordo com o seu objeto-alvo no cumprimento da privacidade. Trs paradigmas
so descritos a seguir, representando essa organizao: Paradigma Centrado no Dado (PCD),
Paradigma Centrado no Usurio (PCU) e Paradigma Centrado no Servio (PCS).
5.1.1
Classificao Baseada em Paradigmas
5.1.1.1
Paradigma Centrado no Dado (PCD)
O PCD caracteriza-se pela ateno especial ao dado, sua natureza, estado, manipulao,
contexto e respectivas regras/polticas especficas.
5.1.1.2
Paradigma Centrado no Usurio (PCU)
No PCU, a centralizao no usurio muda o ponto de vista de importncia quando trata-se

de privacidade. Ainda que manter (ou no) a privacidade dependa de expor/omitir algum dado,
este paradigma indica participao direta do usurio, manifestao de suas preferncias, bem
como o impacto (malfico/benfico) dela decorrente.
5.1.1.3
Paradigma Centrado no Servio (PCS)
No PCS, o tratamento feito independente do indivduo em questo ou do dado sendo

avaliado. Elementos que se enquadrem nesta categoria vo tratar do servio, a forma como
/deve ser provido e/ou consumido, incluindo sua infraestrutura, configurao e dinmica de
funcionamento, ou ainda podem tratar de um caracterstica que est em um nvel de abstrao
acima de dados e usurios envolvidos, que se refira transao em andamento durante a utilizao
do servio.
5.1.2
Classificao dos Requisitos
Considerando a definio dos tipos de paradigmas acima, a classificao dos requisitos,

baseando-se na descrio apresentada na Seo 4.3; a Tabela 5.1 representa um resumo dessa
classificao.
75
Tabela 5.1: Classificao do requisitos de acordo com os paradigmas PCD, PCU e PCS
Requisito
Anonimizao
Aplicao de polticas
Controle de acesso
Controles adaptveis
Correspondncia de Interesses
Degradao de dados
Disfarce de dados
Histrico de interao
Minimizao de dados
Reputao
Responsabilidade
PCD
X
PCU
PCS
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
A anonimizao implica em utilizar diversos subconjuntos de atributos de um indivduo,

de modo que no se possa dizer a quem pertence baseando-se pelos atributos selecionados para o
consumo de um servio. A manipulao dos dados indica o enquadramento do requisito no PCD.
A aplicao de polticas envolve a forma como o servio decide aplicar suas regras,
definidas arbitrariamente, quer seja nas interfaces definidas para sua utilizao, na transferncia
de informao, em alguma etapa do gerenciamento do dado (coleta, armazenamento, utilizao,
etc.) ou mesmo na forma como o usurio envolvido. Essa generalizao no propsito da
aplicao de polticas classifica este requisito como PCS.
O controle de acesso garante a autorizao de acesso aos dados por indivduos e entidades, sendo responsabilidade do servio assegurar essa caracterstica, este requisito classifica-se
no PCS.
Os controles adaptveis de privacidade envolvem a disponibilizao de mecanismos
flexveis de estabelecimento de regras dos dados dos indivduos por part do provedor de servio,
caracterizando-se como parte do PCS.
Controle/Feedback do usurio implica na capacidade do servio de garantir o controle
do usurio sobre seus dados, bem como garantir explicitamente que estes esto em conformidade
com suas preferncias. Sendo um requisito implementado a nvel de servio, classifica-se como
PCS.
A correspondncia de interesses considerada hbrida, PCU/PCS, pois implica no
tratamento tanto das preferncia do usurio em relao ao contexto de exposio de seus dados,
quanto das configuraes e dinmica do servio a ser consumido.
A degradao de dados, classificada como PCD, implica em associar um valor de
76
Figura 5.1: Diagrama dos Nveis de Implementao de Privacidade que compe o

Go!SIP
preciso aos dados, impactando em sua utilidade.

Tcnicas de disfarce de dados, tambm manipulam diretamente os dados, distorcendoos ou inserindo rudos, de modo que, caso interceptados durante a transmisso, no exponha os
indivduo a que pertencem. Este requisito classificado como PCD.
A especificao de preferncias considerada hbrida, PCU/PCS, pois implica na
definio de preferncia do usurio em relao ao contexto de exposio de seus dados e na
definio do requisitos de proviso do servio.
O histrico de interao tambm considerado hbrido, PCU/PCS, pois representa a
particpao do usurio dentro da dinmica de funcionamento do servio.
A interao mnima com o usurio implica na disponibilizao de meios para que
o usurio implemente suas preferncias de privacidade, sem aumentar a carga cognitiva na
utilizao do servio. Este requisito classificado como PCU.
A minimizao de dados requer que o conjunto de dados que compe a identidade
utilizada ao consumir um servio seja composta pelo nmero mnimo de atributos possvel. Este
requisito classificado como PCD.
77
As mltiplas identidades envolvem a utilizao de dados que sejam estritamente adequadas ao contexto de um servio. Este requisito tambm classificado como PCD.
A reputao de um provedor de servio til quando algum servio deste vier a ser
utilizado por um indivduo pela primeira vez; cenrio vislumbrado como recorrente com certa
frequncia em uma cidade, visto que as pessoas esto livremente em movimento. Esta reputao
pode ser determinada levando em considerao tanto os dados que requer para utilizao de
algum servio, quanto pelo feedback dados pelos indivduos que consumiram o servio. Sendo
assim, este requisito classificado como PCS.
A responsabilidade implica em conscientizar o usurio de que, cabe a ele mesmo,
ponderar suas escolhas e preferncias expressas em relao sua privacidade. Este requisito
classificado como PCU.
O requisito tipo/propsito da informao considerado hbrido, PCD/PCS, pois envolve tanto a natureza do dado em questo, quando a forma como o servio vai utiliz-lo.
5.2. CONSIDERAES E APLICAO DO GO!SIP
5.2
78
Consideraes e Aplicao do Go!SIP
Partindo da classificao apresentada na Subseo 5.1.2, pode se elaborar os nveis determinados pelo framework, nomeados de acordo com os paradigmas, como mostra a Figura 5.1.
Cada nvel representa um paradigma de implementao de privacidade - o Nvel de Dado representa o PCD, o Nvel de Usurio representa o PCU e o Nvel de Servio representa o PCS - no
qual o dado, usurio ou servio priorizado, em detrimento dos demais, atravs da satisfao dos
requisitos especificados. Devido natureza de alguns deles, os nveis que compreendem podem
se sobrepor, por exemplo, o Tipo/Propsito da Informao e a Correspondncia de Interesses, que
se encontram na interseco dos Nveis de Dado/Servio e Usurio/Servio, respectivamente.
A ideia que, a medida que os requisitos so satisfeitos, os Nveis de implementao de
privacidade so completados gradativamente, possibilitando a comparao de diferentes solues,
tanto em relao ao paradigma predominante, quanto em relao aos requisitos dentro de cada
Nvel. Se em algum momento a necessidade apontar a incluso de novos requisitos, como uma
evoluo do framework, os mesmos podem ser classificados e inclusos, gerando uma atualizao
na classificao baseada em paradigmas das solues, mantendo o carater comparativo entre
elas.
Ainda sobre os paradigmas, identifica-se que o PCS o mais frequente. Isso se deve em
parte predominncia que o domnio de Smart Spaces possui na implementao de requisitos
levantados na fase de pesquisa, o que impacta na supervalorizao dos servios e respectivas
caractersticas imersos neste contexto; alm disso, a soluo de privacidade descrita nos trabalhos
propostos para outros domnios so construdas a partir da relao provedor/consumidor de
servios, o que diminui a relevncia dos outros paradigmas (PCD e PCU).
A seguir, os domnios estudados na reviso, apresentada no Captulo 4, sero avaliados
quanto aos requisitos que os trabalhos descritos implementam, conforme mostra a Tabela 5.2.
Para cada requisito foi somado 1 ponto para o trabalho, no paradigma ao qual pertence o requisito;
nos caso em que um requisito pertence a mais de um paradigma, o valor foi divido igualmente
entre os paradigmas. A ltima coluna representa a classificao do domnio, considerando
o paradigma predominante. Os trabalho inclusos em Outros Domnios, na Seo 4.2, foram
omitidos, por no tratar-se de um domnio especfico, dificultando a anlise.
Tabela 5.2: Domnios estudados e seu paradigma predominante
Requisito
Smart Grids
Smart Buildings e Homes
Smart Environment
Smart Spaces
Smart Health
PCD
9
5.5
3
3.5
1.5
PCU
4
5
2.5
6
1.5
PCS
7
6.5
5.5
10.5
3
Paradigma Predominante
PCD
PCS
PCS
PCS
PCS
Como visto, a grande maioria dos domnios apresentam um vis voltado para o servio a
ser prestado. Isso pode decorrer fato de, nesses domnios, o estado atual da rea estar na fase
5.2. CONSIDERAES E APLICAO DO GO!SIP
79
da explorao das possibilidades e capacidades das aplicaes que podem ser disponibilizadas,
tornando-se necessrio abordar privacidade para essas situaes.
Quando ao domnio de Smart Grids (SG), este teve como paradigma predominante
o foco no dado. Ao contrrio dos demais domnios, como o tipo servio prestado aqui so
mais padronizados, variando entre medio, balanceamente entre oferta e demanda, consumo e
correlatos, a preocupao maior seja com o dado manipulado e o que pode ser feito neste sentido
para prover privacidades.
De um modo geral, baseando-se nos trabalhos estudados, v-se que a preocupao com
dados e servios ainda supera a preocupao com o usurio na maioria dos domnios. H que se
consentir que no possvel um trabalho prover privacidade sem atacar as trs frentes: dados,
usurio e servio. Sendo assim, a proposta do Go!SIP convergir a implementao dos requisitos
focados em dados e servios para controle e/ou conscincia do usurio, de modo que a percepo
da soluo como um todo, seja que o controle est, de fato, na mo do indivduo. Com este
propsito, a seo a seguir apresenta a materializao dos requisitos Preferncia do Usurio
(PCU/PCS), Degradao de Dados (PCD), Sensibilidade de Dados (PCD) e Reputao (PCS),
atravs de uma abordagem de convergncia desses requisitos para auxiliar o usurio em seu
momento de deciso de exposio de seus dados pessoais.
5.3. CONVERGNCIA DE PARADIGMAS: UMA ABORDAGEM QUANTITATIVA
5.3
80
Convergncia de Paradigmas: Uma Abordagem Quantitativa
O intuito principal deste trabalho permitir que o usurio tenha mais informaes em
mos no momento de decidir expor ou no seus dados, de modo a faz-lo de forma consciente.
Para facilitar a explicitao do efeito do requisito, pensou-se em representar sua evidncia
de forma que permitisse fcil comparao. Neste sentido, este trabalho prope um conjunto de
mtricas, de indicadores quantitativos, que representem requisitos, mesmo os centrados em dado
ou em servio, dando o controle e consentimento da soluo para o usurio.
Nas sees que seguem sero descritos os ndices/mtricas propostos para implementar
os requisitos Preferncia do Usurio (Especificao de Preferncias) (PCU/PCS), Degradao de
Dados (PCD), Sensibilidade de Dados (PCD) e Reputao (PCS).
5.3.1
Definies preliminares
Para compreenso dos conceitos que sero apresentados nas subsesses seguintes,
definem-se os seguintes:
5.3.2
Atributo: Propriedade ou caracterstica de um indivduo representada de forma

quantitativa ou qualitativa, de acordo com a natureza do contexto em que aplicvel.
Ex.: nome, idade, local de nascimento, peso, etc.;
Identidade: Subconjunto de atributos de um indivduo, correspondentes aos interesses de utilizao em a algum contexto.
Clculo de Exposio
O ndice de Exposio (IE), cujo clculo ser mostrado a seguir, representa um conceito
apresentado nos trabalhos de (Salehie et al., 2012; Sankar et al., 2013; Boyer et al., 2006;
Moncrieff et al., 2008; Oyomno et al., 2011), que estudam o impacto da sensibilidade de dados
e como isso reflete na perda de privacidade de um indivduo. Aqui, utilizou-se como ponto de
partida uma identidade (conjunto de atributos necessrios para proviso de um determinado
servio, em um determinado Nvel de Proposio de Valor (NPV)) e como unidade fundamental,
um atributo. Logo, a exposio calculada para uma identidade, tendo como parmetro os
atributos que a compe.
A importncia de tal mtrica determinada pela capacidade de mensurar o risco da
exposio dos dados de um indivduo, quer seja pela sensibilidade dos atributos envolvidos, pela
preciso dos mesmo ou por ambos motivos, o que permite ter mair cautela antes de exp-los
e ser mais criterioso para com os provedores de servio que requerem dados mais sensveis,
levando em conta o NPV que oferecem. Alm disso, como apontado em (Tene and Polonetsky,
81
2012), esta mtrica pode ajudar na fundamentao do consenso de exposio levando em conta
risco, propsito e potenciais consequncias, tornando esses parmetros mais palpveis para os
usurios.
As subsees a seguir apresentam mtricas auxiliares antes de, finalmente, apresentar o
clculo do ndice de Exposio.
5.3.2.1
ndice de Proteo Individual
O primeiro passo rumo ao clculo de exposio a classificao de cada atributo quanto

ao seu ndice de Proteo Individual (IPI). Este ndice serve para mensurar a importncia
individual dada aos atributos, de modo que se inclua essa viso do usurio no clculo de
exposio.
Assim sendo, os atributos podem ser categorizados da seguinte forma:
Secretos: atributos cujo contedo para uso exclusivo do indivduo ao qual ele se
refere (IPI = 100);
Fechados: atributos cujo contedo de uso exclusivo o indivduo ao qual ele se
refere e s entidade explicitamente autorizadas a faz-lo (IPI = 50);
Pblicos: atributos cujo contedo pode ser livremente utilizado (IPI = 0).
Requisito representado: Preferncia do usurio.

5.3.2.2
Clculo de Preciso do Atributo
Uma vez determinado o IPI do atributo, deve-se estabelecer uma taxa de degradao (d)
para o mesmo. Assim como o mesmo conceito apresentado em (Van Heerde et al., 2006), a taxa
de degradao diz quo verdadeiro ou preciso um dado atributo, sendo esta preciso calculada
em funo do tempo - de coleta ou armazenamento - e da variao sofrida ao longo do tempo
considerado.
O valor da taxa de degradao (d) de um atributo pode variar entre 0% - no caso em que
nunca muda, representando um valor constante, e 100% - no caso em que muda a cada variao
de uma unidade na escala de tempo considerada.
Seguem alguns exemplos de atributos e suas taxas de degradao:
Nome de um indivduo: o nome de uma pessoas nunca muda, ao menos teoricamente, logo:
d = 0%
Idade de um indivduo: a cada ms a idade perde sua preciso (100/12), logo;
d = 8.33%
82
Para atributos cuja variao no seja em perodos regulares, uma aproximao deve ser
determinada de acordo com a percepo individual.
Uma vez disponibilizada a taxa d, o framework ir calcular, dado a data em que o
atributo foi gerado/coletado, quo preciso ele em determinado tempo t. No tempo t0 o
atributo tem sua maior preciso (100%), no tempo t, a preciso de um atributo ser dada por
p(d,t) = 100 d (t t0 ), ou ainda:
p(d,t) = 100 d t
Requisito representado: Degradao de Dados.
5.3.2.3
ndice de Exposio
O clculo de exposio leva em considerao o IPI de cada atributo e sua respectiva

preciso.
Partindo da premissa de que dados mais precisos implicam em maior exposio e,
analogamente, dados menos precisos implicam em menor exposio, a ideia deste ndice
avaliar a exposio de acordo com a importncia manifestada pelo usurio com relao ao
atributo e calcular esse impacto em uma identidade.
Dada uma identidade (conjunto de atributos), representada por um array de atributos, o
valor do ndice de Exposio (Ex) para esta identidade dado por:
I = {a0 , a1 , . . . , an1 }
n1
i=0 p(di ,t) IPIi
102 n
A proposta da frmula somar a exposio individual de cada atributo e mapear este
valor, cujo mnimo e mximo seriam 0 e 102 n, respectivamente, para um intervalo entre 0
e 100, para facilitar a compreenso. Um ndice de exposio 0 indica pouqussima/nenhum
exposio; um ndice de exposio 100, indica mxima exposio.
importante lembrar que o t deve estar na mesma unidade para todos os atributos (i.e.
ms, dia, etc.), j que interfere no valor da taxa de degradao a ser usada.
Requisito representado: Sensibilidade de Dados.
Ex =
5.3.3
Clculo de Similaridade
O clculo de similaridade permite estabelecer uma reputao inicial para provedores

de servio desconhecidos baseada em interaes histricas com provedores de servio conhecidos ou comparar nveis de exposio entre provedores que oferecem servios com mesmas
caractersticas. Aqui, h de se levar em considerao o ndice de Exposio (IE) para cada NPV.
Dado que um provedor de servio SPt , cuja similaridade ser testada, calculam-se os
vetores ExV (SPt ) e ExV (SPx ) (ou vetores-exposio) dos m nveis de proposio de valor, para
83
cada provedor de servio conhecido SPx ao qual pode ser comparado, que compreende o IE para
cada NPV.
J que cada NPV requer eventualmente um conjunto diferente de atributos, o IE dos
diferentes nveis podem tambm ser diferentes. Assim, tem-se o seguinte:
ExV (SPt ) = [NPV (t)1 , NPV (t)2 , .., NPV (t)m1 , NPV (t)m ]
ExV (SPx ) = [NPV (x)1 , NPV (x)2 , .., NPV (x)m1 , NPV (x)m ]
Onde:
ExV (SPx ) o vetor-exposio que representa SPx ;
ExV (SPt ) o vetor-exposio que representa SPt ;
SL(x)i o IE para SPx no NPV i.
Finalmente, tem-se:
s
dist(SPt , SPx ) =
(NPV (t)i NPV (x)i)2
i=1
Assim, quanto menor a distncia, mais similar SPt em relao a SPx :

sim(SPt , SPx ) = min(dist(SPt , SPx ))
A comparao entre NPV de diferentes servios s faz sentido quando requerem o mesmo
conjunto de atributos e tem dados de sada similares. Dessa forma, o clculo da similaridade
naturalmente inclui a abordagem contextual, onde somente os servios de mesma natureza podem
ser avaliados e comparados entre si.
Requisito representado: Reputao.
5.4. RUMO AVALIAO
5.4
84
Rumo Avaliao
Uma vez mostrado como o Go!SIP deve funcionar, prximo passo implementar os
requisitos acima, implementados na forma de mtricas, e verificar se cumprem os propsitos
para os quais foram escolhidos.
J que o foco do trabalho o aspecto humano envolvido no problema de privacidade,
considerando que a maioria das propostas encontradas na literatura tem vis voltado para dados
e servios e que parte do funcionamento do Go!SIP assemelha-se s abordagens estudadas - que,
inclusive, j foram validadas junto comunidade cientfica - o aspecto remascente a ser avaliado
fica por conta da centralizao no usurio.
Partindo de um conjunto de preferncias de exposio de dados pessoais e de consumo
de servios, pretende-se avaliar a resposta do usurio quanto transparncia na exposio apenas
dos dados necessrios e adequados a cada contexto e na indicao do risco ao qual se submete
ao exp-los, suportado por controles disponibilizados para o usurio.
O propsito principal identificar a preparao das pessoas para a iminente era de
utilizao massiva de dados pessoais, com o intuito de otimizao, maximizao de personalizao e proposio de valor, fornecendo meios para que manifestem suas preferncias e tomem
decises de exposio baseadas em informaes principalmente quantitativas - representadas
pelos ndices propostos - em direo a um cenrio em que estejam aptas para igualar-se em
termos de informao quanto ao uso de dados pessoais, atravs do Go!SIP.
O captulo a seguir apresenta o mtodo escolhido para executa a avaliao, como foi
desenvolvido, como se deu o processo de experimentao e os resultados extrados.
85
6
Avaliao do Framework
It is no use saying, We are doing our best.
You have got to succeed in doing what is necessary.
WINSTON CHURCHILL
A escolha do mtodo de avaliao para o framework proposto foi uma das partes mais
desafiadoras deste trabalho. Primeiro, devido ao nvel de subjetividade que o assunto privacidade
pode assumir do ponto de vista humano, faz com que um experimento convencional poderia
no trazer a carga contextual necessria para a compreenso do processo de deciso de expor ou
no as informaes pessoais, quais os fatores favorveis/desfavorveis, motivos provveis, etc.;
cogitou-se utilizar questionrios, porm, identificou-se que no se poderia garantir a sinceridade
das respostas dos participantes, que poderiam direcionar suas intenes para respostas totalmente
favorveis exposio de dados pessoais, j que no poderiam sentir o impacto das consequncias,
ou ainda fechar-se s possibilidades e necessidades de exposio de dados na vida real, feita
quase que diariamente em troca de algum benefcio.
Em segundo lugar, uma avaliao terica no permitiria identificar o impacto da proposta
na vida real, eliminaria o carter prtico do assunto.
Por ltimo, como os trabalhos estudados no disponibilizam suas implementaes, no
seria possvel comparar as solues propostas. Adicionalmente, mesmo que fosse possvel
acessar a implementao, os contextos so diferentes, o que poderia prejudicar a anlise das
comparaes. Outra alternativa, seria comparar a proposta com mecanismos de privacidade de
ferramentas popularmente conhecidas, como redes sociais, ferramentas de email e e-commerces,
mas alm da diferea de contexto, a proposio de valor dificultaria a criao de alguma mtrica
de comparao e tornaria a avaliao extremamente subjetiva.
Depois de estudar as possibilidades, chegou-se a analisar a implementao de um Estudo
de Caso, que cobriu as necessidades de incluso de contexto e de perspectivas individuais. Por
este motivo, este foi o mtodo escolhido para avaliao da proposta.
6.1. UMA VISO GERAL SOBRE ESTUDOS DE CASO
6.1
86
Uma Viso Geral Sobre Estudos de Caso
A utilizao de Estudos de Caso em pesquisas permite a explorao de um tpico

de interesse, dentro de seu prprio contexto, usando uma variedade de fontes de dados. As
discusses apresentadas em (Stake, 1995) e (Yin, 2014), descrevem esta tcnica afirmando que a
verdade relativa e, como tal, dependende da perspectiva; logo, reconhece-se a importncia do
indivduo que cria e atribui significado, sem abrir mo da objetividade.
De acordo com (Baxter and Jack, 2008), uma das vantagens do Estudo de Caso a
cooperao estreita entre o pesquisador e os participantes; enquanto cada participante pode
contar sua histria, cada histria descreve uma viso individual da realidade e permite ao
pesquisador melhor entender suas aes.
Kitchenham & Pickard (Kitchenham et al., 1995) afirmam que, mesmo que seja mais
fcil de planejar, que um experimento, um Estudo de Caso mais difcil de interpretar e de
generalizar; pode-se mostrar os efeitos de um determinado cenrio, mas no se pode generalizar
para qualquer cenrio.
Em (Yin, 2014), Yin afirma que um Estudo de Caso deve ser considerado nas seguintes
situaes: (a) O foco do estudo responder questes do tipo como e por que; (b) No
se pode manipular o comportamento dos participantes envolvidos no estudo; (c) necessrio
considerar as condies contextuais, vistas como relevantes para o fenmeno sendo estudado;
(d) Os limites entre fenmeno e contexto no so bem definidos.
Miles & Huberman (Miles and Huberman, 1994) auxiliam na definio do que pode ser
considerado a unidade bsica de um Estudo de Caso, ou simplemente, o caso. Os autores
afirmam que alguns questionamentos sobre o que se quer analisar pode ajudar neste sentido;
portanto, assim como nas Revises Sistemticas, as Questes de Pesquisas ajudam a direcionar os
esforos da avaliao. Estas questes devem ser especficas e no podem comtemplar mltiplos
objetivos simultaneamente.
Uma vez definidas as perguntas, deve-se determinar como os dados sero coletados,
armazenados e disponibilizados para anlise. Assim que concluda a anlise, o Estudo deve
ser reportado de forma completa, permitindo que outros pesquisadores possam compreender o
mtodo utilizado e os resultados.
6.2. ESCOPO DA AVALIAO
6.2
87
Escopo da Avaliao
Como o framework descrito bem extenso e genrico, aliado ao tempo disponvel para
o desenvolvimento da pesquisa, a escopo da avaliao ser menor em relao proposta do
trabalho.
Como a inteno convergir o foco no indivduo, a avaliao vai cobrir os ndices
propostos, a saber: ndice de Proteo Individual e ndice de Exposio, j que eles fazem parte
do mecanismo que permite deciso informada por parte do usurio.
6.3. METODOLOGIA
6.3
88
Metodologia
O Estudo de Caso aqui apresentado segue, em linhas gerais, uma abordagem adaptada
da verso apresentada em (Baxter and Jack, 2008), devido sua simplicidade de descrio e
compreenso.
O objetivo da avaliao aqui descrita avaliar a percepo do usurio em relao
proposta de gerenciamento de privacidade de dados pessoais, em modelo centrado no usurio,
visando verificar o engajamento dos usurios atravs de um controle auxiliado e verificar se
decises informadas podem faz-lo assumir aes mais responsveis ao expor seus dados.
Como a ideia avaliar os ndices propostos de auxlio a deciso, a Questo de Pesquisa
definida para guiar o Estudo a seguinte:
As pessoas so mais propensas a expor dados quando apoiadas por parmetros quantitativos ?
O caso proposto para estudo foi dividido em diferentes cenrios, como atendimento
mdico, redes sociais, servios pblicos, pagamento, etc., para os quais foi listado um conjunto
de situaes que poderiam abrigar, nos quais fossem disponibilizados servios que dependessem
do uso de dados pessoais. Um indivduo ento seria submetido a um conjunto de cenrios e suas
aes, em cada um deles, deveria ser registrada para anlise.
Para que o conjunto de cenrios e a transio entre eles fosse coerente, foi necessrio
encontrar uma forma de descrev-los, de modo que o usurio fosse conduzido imperceptivelmente
de um a outro, com a ateno minada pelo contexto, na qual a situao de exposio de dados
seria embutida, sem criar nenhum tipo de alerta para o que estava sendo feito realmente.
Com o auxlio de uma equipe composta por Engenheiros de Usabilidade e de Game
Designers, decidiu-se que o Estudo de Caso poderia ser conduzido no formato de uma histria
interativa, na qual situaes fossem propostas e decises pudessem ser feitas, conduzindo o
participante pelo experimento. Como embasamento terico, foi necessrio estudar os princpios
de Storytelling e de Gamebooks, para compor a execuo do caso. Estes assunto sero abordados
nas subsees 6.3.1 e 6.3.2 que se seguem.
6.3.1
Storytelling
De acordo com (Eisner, 2008), desde os tempos remotos o ato de contar histrias
est enraizado no comportamento social dos grupos humanos. Inicialmente usadas como
ferramenta para transmisso de conhecimento entre geraes, as histrias passaram a entreter,
educar, ensinar comportamentos, discutir valores ou satisfazer a curiosidade.
Esta tcnica consiste na criao de uma histria, constituda de um incio e um fim,
intermediados por uma sequncia de eventos estruturados de modo coeso, incluindo um ou
mais personagens, um ambiente na qual os evento se desenrolam e um (ou mais) acontecimento
principal que representa o clmax (ponto alto de tenso) da histria.
6.3. METODOLOGIA
89
De acordo com Will Eisner (Eisner, 2005), o ritmo com que os eventos se sucedem, a
forma como o problema ou a situao clmax resolvida, as causas que levam a ela, o efeito que
produzem e o ferramental cognitivo utilizado, so importantes para uma experincia satisfatria
na storytelling. Para isso, essencial que o contexto proposto pela histria seja conhecido o
suficiente pelo leitor a fim de que se produza empatia e o permita partilhar das experincias dos
personagens, sendo este o objetivo final da histria.
6.3.2
Gamebooks
Um Gamebook , em uma definio adequada ao propsito deste trabalho, um livro

tipicamente escrito na 2 pessoa, no qual o leitor atua na histria atravs de escolhas que afetam
o curso da narrativa (Gamebooks.org, 2002) e que oferecem uma histria no contnua adequada
ao contexto de uma storytelling interativa.
Dos exemplos mais antigos que se tm registro, podem-se citar An Examination of the
Work of Herbert Quain (Borges, 1941), de Jorge Luis Borges, e a srie Tutor Text (Crowder,
1958).
Em An Examination of the Work of Herbert Quain so apresentados vrios trabalhos do
autor Herbert Quain, como o romance April March, constitudo de treze captulos, formando
nove histrias diferentes. Partindo-se do primeiro captulo, as decises escolhidas pelo leitor
podem lev-lo a um dos trs prximos captulos e, cada um destes, levam a um dos trs captulos
subsequentes (Kistler et al., 2011).
A srie de livros educacionais Tutor Text, permitiam que os alunos pudessem aprender
sem a necessidade da presena de um professor. Questes de mltipla escolha direcionavam
para pginas diferentes de acordo com a resposta escolhida. No caso de uma resposta incorreta,
o aluno seria levado para uma pgina que explicava o porque aquela resposta estava errada;
quando a resposta estivesse certa, uma pgina com mais informaes seria indicada, incluindo as
prximas questes.
Na forma como foi utilizada neste trabalho, a tcnica foi empregada no formato de uma
histria de enredo ramificado (Gamebooks.org, 2002), atribuindo ao leitor as escolhas para sua
continuidade, levando a um dos finais previstos.
6.3.3
Por Que Storytelling e Gamebook?
A princpio, pensou-se em testar a proposta deste trabalho atravs de um questionrio,

no qual, os participantes seriam questionados sobre sua percepo da utilidade das funes
(consideradas para avaliao) do Go!SIP, sem ou aps o uso, em determinada situao de
exposio de privacidade.
Apesar dos questionrios serem vistos como uma forma rpida de obteno de opinio,
serem objetivos, obtendo respostas em formato padronizado, caso seja aplicado posterior ao
experimento, alguns detalhes da experincia podem ser esquecidos. Alm disso, se fosse
6.3. METODOLOGIA
90
necessrio uma quantidade razoavelmente grande de perguntas, o interesse do usurio poderia

se perder ao longo do preenchimento, tornando-se um risco potencial anlise dos resultados.
Finalmente, os participantes poderiam deixar de revelar alguma informao, ou poderiam achar
que seriam penalizados caso fornecessem sua real opinio (Milne, 1999).
Como o uso de questionrios trazia em si o risco de que, a forma como os usurios
atuariam nos cenrios descritos poderia no ser prximo ao que fariam no mundo real, a funo
de storytelling no contexto deste trabalho foi estratgica, visando minimizar este problema.
Era necessrio expor as pessoas a cenrios cotidianos, eventualmente futursticos, no qual se
propusessem situaes em que seriam impelidas a fornecer seus dados pessoais. Decidiu-se
utilizar uma histria, em forma de narrativa, organizada como um gamebook e adicionando uma
camada de ludicidade proposta, de modo que as pessoas se sentissem livres para expressar suas
decises da forma mais sincera possvel.
Agregando as duas tcnicas, fez-se possvel extrair as informaes necessrias para o
processo de avaliao, atravs de um questionrio-jogo, no formato de histria, trabalhando a
experincia de forma intrinsecamente ldica.
6.4. EXECUO DA AVALIAO
6.4
91
Execuo da Avaliao
Aps decidir que o Estudo de Caso seria materializado atravs de storytelling, organizado
como um gamebook, iniciaram-se as atividades rumo execuo da experincia, partindo da
concepo da histria, definio do perfil esperado de participantes, ao desenvolvimento da
aplicao at sua disponibilizao. Cada uma dessas etapas so exploradas das subsees que se
seguem.
6.4.1
A Criao da Histria
Para a criao da histria, os mesmos pesquisadores envolvidos ao longo do desenvolvimento deste trabalho foram convidados a propor situaes cotidianas isoladas, que poderiam se
passar em um contexto urbano, nas quais seria necessrio expor algum dado pessoal.
Assim que a lista de situaes foi criada, um enredo foi construdo a fim de conect-las.
Antes de partir para fase de implementao, um Game Designer foi convidado a validar a histria,
destacando pontos que poderiam ser melhorados, de modo que se pudesse envolver ao mximo
o usurio e extrair dele as informaes necessrias. Realizou-se vrios ciclos de reviso nesta
etapa; cada reviso tinha como objetivo, alm de avaliar a ludicidade da histria e a adequao
aos interesses da pesquisa, certificar-se de que cada situao iria impactar em alguma ao
futura, criando a noo de causa-efeito. Alm disso, os finais possveis deveriam ter contedo
condizente com a trajetria selecionada, expostos de forma possivelmente cmica, para concluir
a experincia de participao que trouxesse memoria o aspecto ldico intencionado.
O grande desafio da etapa de criao da histria foi, na verdade, desenvolver as ramificaes da histria nos pontos de deciso, nos quais as opes seriam apresentadas ao participante,
e conduzir cada uma das continuaes de forma coerente, levando a um final interessante, que
retratasse as escolhas feitas.
Depois das inmeras rodadas de reviso, a histria foi finalmente concluda e pode ser
conferida no Apndice B, organizada de acordo com os Passos, ou trechos, alcanados por meio
das escolhas feitas durante sua evoluo.
Resumidamente, o participante acabou de chegar das Terras do Mar Prestos para o local
onde a histria acontece: uma cidade fictcia, chamada Privus, localizada em um pas chamado
Secreta. Logo que chega na cidade, o personagem passa por um breve questionrio no guich
de imigrao, onde apresentado um contexto geral sobre a cidade. A partir da, vrias opes
so apresentadas, entre passear pela cidade, pagar contas, usar ou no servios de localizao,
redes sociais, etc., aes comuns pensadas de forma que pudessem fazer sentido em uma Cidade
Inteligente.
6.4.2
92
Ferramentas
Para a criao do gamebook interativo foi desenvolvida uma aplicao Web, para facilitar
o acesso e a comodidade dos participantes, alm da familiaridade com as tecnologias utilizadas.
A aplicao Web foi desenvolvida em Python, usando um framework chamado Django1 ,
em sua verso 1.6.1. Utilizou-se o Eclipse Kepler como Integrated development environment
(IDE). Para persistncia, foi utilizado o PostgreSQL2 . A interface foi construda usando Bootstrap3 3.2, CSS, HTML e javascript.
Como dois desenvolvedores foram envolvidos, o cdigo foi disponibilizado via repositrio privado no BitBucket4 , usando o sistema de controle de verso open source Git5 .
Para disponibilizar a aplicao, utilizou-se a infraestrutura Amazon Web Services (AWS),
com uma instncia gratuita da Amazon Elastic Compute Cloud (EC2).
6.4.3
Perfil de Participao
Para participao do Estudo de Caso, discutiu-se a possibilidade de incluir pessoas de

diferentes faixas etrias, com conhecimento bsico de informtica, o suficiente para informar
suas escolhas na histria. Entretanto, ao longo do desenvolvimento, notou-se que seria necessrio
um entendimento bsico dos servios que seriam fornecidos, simulados ou no, durante a histria,
com familiaridade suficiente para entender e decidir sua utilizao, j que se tentou assemelhar
ao mximo o nome e a proposta dos servios do mundo real.
Com isso, entendeu-se que o melhor perfil para participar seriam pessoas envolvidas cotidianamente com o mundo de Tecnologia da Informao, habituados aos servios representados e
discusses abordadas neste trabalho. Sendo assim, a aplicao foi disponibilizada apenas para os
estudantes de ps graduo do Centro de Informtica da Universidade Federal de Pernambuco,
para os colaboradores do Centro de Estudos e Sistemas Avanados do Recife e para alguns alunos
do Departamento de Computao da Universidade Federal de So Carlos, campus Sorocaba.
6.4.4
Desenvolvimento
Cada etapa da histria foi separada em pginas diferentes, que eram acessadas medida
que as opes que representavam eram escolhidas.
O estgio que possui maior expresso da proposta do Go!SIP o Passo 2c, no qual o
participante pode configurar o seu IPI. Durante a implementao, percebeu-se que ao invs
representar este ndice da forma como foi originalmente descrito - com valores fixos 0 (secreto),
50 (fechado) e 100 (pblico) - seria mais flexvel e de mais fcil entendimento se a faixa de
1 https://www.djangoproject.com/
2 http://www.postgresql.org/
3 http://getbootstrap.com/
4 https://bitbucket.org/
5 http://git-scm.com/
93
valores fosse contida em um intervado discreto. Decidiu-se que a melhor forma de traduzir a
semntica da mtrica para o participante seria a seguinte: De 1 a 100, o quanto seus dados
. . . importam para voc?. Para facilitar a compreenso deste valor, conforme o participante
deslizava um slider escolhido para este propsito, um tooltip era exibido com uma categorizao
textual, conforme segue:
[1, 20[: No me importo;
[20, 40[: Quase no me importo;
[40, 60[: Me importo pouco;
[60, 80[: Me importo;
[80, 100[: Me importo muito.
A definio do IPI foi feita a nvel de perfil, por questes de facilidade de configurao; o
valor padro de IPI 100, indicando importncia mxima. Considera se como perfil, um conjunto
de atributos de um indivduo, agrupados convenientemente para um determinado contexto. Na
implementao atual so considerados 6 perfis, pensados para explorar o mximo de aspectos
possveis durante o estudo, como descrito abaixo:
Dados Pessoais, inclui nome e email do indivduo;

Dados Financeiros, inclui dados fictcios sobre a conta bancria do indivduo e os
lanamentos em seu carto de crdito;
Dados de Consumo, inclui o histrico fictcio de consumo do indivduo, como data,
local de compras, o que foi comprado e qual o valor;
Dados de Localizao, inclui o histrio fictcio de localizao do indivduo, supostamente coletado em intervalos de tempo;
Dados Mdicos, inclui data de nascimento e sexo do indivduo, bem como seu
histrico fictcio de sinais vitais, como taxa respiratria, temperatura corporal e
presso;
Dados de Relacionamentos, inclui a lista de amigos do indivduo.
A taxa de degradao (d) de dados dos atributos presentes no perfil foi definida de modo
fixo, no sendo exposta ao participante de forma alguma e foram estabelecidos, ora a nvel de
atributos (mesmo que sob uma abstrao, como conta bancria, por exemplo), ora a nvel de
perfil. Os seguintes valores de taxas de degradao foram considerados:
Nome e Email, d = 0, nvel de atributo;

Conta bancria, d = 3, 333, variao por dia, nvel de atributo;
Carto de crdito, d = 0.139, variao por hora, nvel de atributo;
Localizao, d = 0.139, variao por hora, nvel de perfil;
Relacionamento, d = 3, 333, variao por dia, nvel de perfil;
Dados mdicos, d = 0, 555, variao por semestre, nvel de perfil;
Dados de consumo, d = 3, 333, variao por dia, nvel de perfil;
94
O clculo da preciso de cada um dos elementos descritos acima levou em considerao o tempo decorrido desde o momento que o usurio iniciou sua participao no estudo,
cadastrando/autenticando-se na aplicao. Deste modo, o dado vai se depreciando, ainda que
vagarosamente, durante a experincia do participante.
A cada escolha de exposio do participante, calcula-se o IE, baseado no valor atual do
IPI (j que o participante pode alterar esta informao a qualquer tempo) e da preciso. Para
efeitos de histrico, registra-se o IPI e o IE de cada perfil envolvido juntamente com o contexto
na qual se baseia a escolha, o provedor de servio e o timestamp da transao. Alm disso, para
cada passo da histria registrado qual foi a opo escolhida pelo participante.
Sempre que algum servio consumido o clculo de exposio executado, conforme
explicado, e exibido para o participante de forma visual, grfica, textual e numericamente, como
mostra a Figura B.11. Para cada perfil exibido uma barra horizontal que varia de tamanho de
acordo com o risco calculado, colorida, variando de verde - para exposio mnima - a vermelho
- para exposio mxima; junto essa barra, tambm mostrado o valor bruto de exposio
calculado e uma categorizao como segue:
[1, 20[: Risco baixssimo;
[20, 40[: Risco baixo;
[40, 60[: Risco mdio;
[60, 80[: Risco alto;
[80, 100[: Risco altssimo.
Essas informaes deveriam ser exibidas sempre que o usurio tivesse que fazer a
aquisio de um servio, sendo bem destacadas na tela e referenciadas no texto de descrio.
Entretanto, como a ideia era verificar se mtricas quantitativas faziam diferena na deciso de
exposio de dados, implementou-se um mecanismo que, na primeira vez que o participante
entrava na aplicao, era determinado se ele ia ou no ter acesso ao score e s mtricas; a
forma como esta caracterstica foi implementada garante que a diferena entre a quantidade
95
de participantes tendo acesso ou no s mtricas seria de no mximo um (1), i.e., idealmente

seriam quantidades iguais. Para os participantes que no tinham acesso s metricas, nenhuma
referncia literal privacidade foi feita, nem mesmo era informado que este seria o assunto sendo
observado no Estudo, nem a barra horizontal, a categorizao textual ou o valor de exposio era
exibido.
Para manter o foco nas mtricas, no foram oferecidos mltiplos provedores de servio,
tanto por questes de simplicidade de implementao, quanto para no interferir na percepo da
exposio dos dados; quanto maior a carga cognitiva necessria para participar do experimento,
menos efetivo ele seria e maior a dificuldade em convencer as pessoas a participar.
A utilizao dos perfis de dados por parte dos servios pode ser encontrada no Apndice B.2. Alm dos servios, algumas situaes especficas tambm utilizam o perfil Dados
Financeiros do participante; a saber, na parte da histria que descreve a compra de um carro,
quando no pagamento da conta de energia e do pedido no Burger Queen.
Para registrar o impacto das aes de forma quantitativa durante o jogo, um score
exibido no canto direito da tela, apresentando os seguintes indicadores:
Dinheiro
Risco
Influncia
O indicador Dinheiro registrado com uma unidade monetria fictcia (P$), inicialmente
apresenta o valor 20.000, como um benefcio do governo local para o imigrante, para que se
estabelecesse de modo confortvel na cidade. Este valor impactado sempre que o participante
paga algum servio ou produto; o indicador Risco est fora do controle do participante e foi
estabelecido previamente, de forma emprica e hard coded, e um valor para indicar o quanto
o usurio j se exps ao longo da histria, cujo valor incrementado depende da situao (este
ndice no representa o ndice de Exposio); o terceiro indicador que compe o score a
Influncia, que representa a reputao virtual do participante, e incremementada sempre que
alguma interao social realizada.
Nos servios disponibilizados na aplicao, o impacto no score foi atribudo arbitrariamente, conforma mostra a Tabela 6.1:
Assim como os servios, alguns passos da histra implicam na utilizao de algumas
outras funcionalidades, como pagamento, execuo de alguma tarefa, fazer um tour com os
amigos, tambm interferem no score, como mostra a Tabela 6.2.
Ao longo da histria diversos formulrios so apresentados. Porm, com exceo do
formulrio apresentado no Passo 2c (tambm acessado atravs do menu Meus Dados), todos os
formulrios so inertes, ou seja, nenhum deles salva ou registra os dados informados. A nica
coisa que registrada que o participante manifestou a inteno de faz-lo. Isso permitiu que
apenas os dados relevantes para a anlise fossem persistidos.
96
Tabela 6.1: Impacto dos Servios no score do participante

Servio
Gugou Maps
Fakebook
Twistter
Check-In
Smart Meter
Health Monitor
Health Assist
Risco
+5
+10
+10
+5
+5
+5
+5
Dinheiro (P$)
2,00
0,00
0,00
0,00
2,00
8,00
0,00
Influncia
0
+10
+10
+10
0
0
0
Tabela 6.2: Impacto dos Passos no score do participante

Servio
Passo 4c
Passo 6c
Passo 6d
Passo 8b
Passo 9a
Passo 9b
Passo 9c
Passo 8b
Risco
0
+15
+10
0
5
0
5
0
Dinheiro (P$)
0.0
(76,5%)
(90%)
0
150,00
150,00
(Varivel)
(Varivel)
Influncia
+5
+5
+5
-15
0
0
0
0
Situao
Participante escolhe fazer tour com seus amigos
Participante compra o carro e participa da pesquisa
Participante compra o carro sem participar da pesquisa
Participante se recusa a pagar a conta de energia
Participante paga a conta de energia com carto
Participante paga a conta de energia com dinheiro
Participante paga a conta no Burger Queen com carto
Participante paga a conta no Burger Queen com dinheiro
Finalmente, em nome da ludicidade, vrios recursos foram utilizados para deixar algumas
experincias dentro da histria mais interessante. Notificao de servio so exibidas a medida o
usurio atinge um ponto especfico de leitura e, em alguns casos, sons tambm foram utilizados;
na etapa da histria em que ocorre um problema de sade, alm da notificao, a tela fica
embaada aleatriamente, dando um apelo visual situao. Para implementao desses recursos
foram utilizados CSS3, HTML5 e javascript.
A Figura 6.1 apresenta uma das telas da aplicao desenvolvida, com destaque para os
servio habilitados esquerda e o score do participante direita. Ao centro da tela, pode-se ver
um dos passos da subrotina de Navegao, na qual o participante deve escolher para onde quer
seguir rumo ao seu objetivo, destacado na parte superior do mapa.
A aplicao ficou disponvel para utilizao durante duas semanas e foi divulgada
verbalmente e atravs de emails para o pblico alvo. Durante este perodo, as dvidas e
discusses que iam surgindo foram anotadas a fim de fomentar a discusso dos resultados do
trabalho.
Figura 6.1: Exemplo da tela do Go!SIP
97
6.5. RESULTADOS
6.5
98
Resultados
Durante o perodo em que a aplicao esteve disponvel 41 pessoas participaram, sendo

que apenas 21 delas puderam visualizar seu score e tiveram acesso s mtricas de exposio.
A Figura 6.2 apresenta um heat map6 simples dos fluxos escolhidos pelos participantes no
gamebook interativo usado para o Estudo de Caso, representando a frequncia com que um
caminho foi escolhido e, em cada passo, a proporo de acesso ou no s mtricas.
O nmero de participante ficou bem abaixo do esperado e, principalmente, a taxa de
concluso da histria; do total de participantes, 63.4% chegaram a algum dos 7 finais possveis
da histria - Passos 2b, 11b, 11c, 11d, 13c, 14a, 14b - sendo que desse percentual, 53.8%
finalizaram no Passo 2b (neste passo, o participante se recusava a fornecer algum dado para ser
autorizado a entrar na cidade); aproximadamente metade desses participantes tinham acesso s
mtricas, porm, at esse ponto da histria, elas no haviam sido introduzidas ou utilizadas. Este
passo alcanado quando a pessoa se recusa a fornecer seus dados, via Facebook, LinkedIn ou
manualmente.
Buscando entender o motivo do baixo percentual de concluso da histria, verificou-se
os ndices de desistncia nos Passos, cujo resultado mostrado na Tabela 6.3. Com exceo
dos passos iniciais - Abertura e Passo 0 - a tela de configurao de dados, com a mtrica de
importncia (ou IPI), foi a que apresentou maior desistncia, seguida da tela de apresentao da
cidade; a provvel causa de desistncia nessas tela pode ser a densidade da informao contida.
As duas ltimas posies, Passos 6a e 10b, so subrotinas de navegao, at a entrada da cidade
e at um local para pagamento de contas, respectivamente; dos 11 participantes que desistiram
nesta etapa, apenas 4 no tinha acesso ao mapa, deixando um questionamento em aberto sobre o
motivo da desistncia.
Tabela 6.3: Desistncia nos passos da histria
Passo
Abertura
Passo 0
Passo 2c
Passo 3
Passo 6a
Passo 10b
Desistncias
1
3
4
3
1
3
Observando o heat map observa-se que o nico ponto de deciso que dividiu os participantes, deixando em um trecho um grupo uniforme que no podia ver as mtricas, nem o score,
foi do Passo 8a para o 9a, onde o participante decide pagar sua conta de energia usando carto.
Os participantes com acesso s mtricas preferiram pagar a dinheiro, o que pode indicar que as
mtricas os deixaram menos a vontade para usar o pagamento a carto. Como este foi o nico
6 Um
heat map uma representao grfica de valores de uma matriz, expressos atravs de cores. Fonte:
http://bit.ly/1niGb5L, acessado em 25/06/2014
6.5. RESULTADOS
99
ponto de uso do perfil de Dados Financeiros pelos dois grupos de participantes, nada mais pde
ser inferido neste sentido.
Voltando a ateno para a Questo de Pesquisa, replicada abaixo, a exposio de dados
no Estudo de Caso deu-se atravs do uso dos servios. A Tabela 6.4 mostra a distribuio dos
servios adquiridos.
As pessoas so mais propensas a expor dados quando apoiadas por parmetros quantitativos ?
Das 15 aquisies de servio, 11 delas foram feitas por participantes que no tinha acesso
s metricas e apenas 4 vieram de participantes que no tinham informao alguma sobre risco de
exposio.
Tabela 6.4: Aquisio de servios
Servios
Gugou Maps
Smart Meter
Health Monitor
Health Assist
Aquisies
8
4
2
1
Perfil Utilizado
Dados de Localizao
Dados de Consumo
Dados Mdicos
Dados Mdicos
Sobre as pessoas que usaram a tela de configurao para ajustar os IPIs de seus perfis,
tambm se fizeram algumas verificaes. Dos 41 participantes, 17 fizeram ajustes em seus perfis,
demonstrando interesse em customizar a sua importncia para cada um dos grupos de dados:
9 participantes tinham acesso s mtricas, desses, apenas 4 realmente adquiriram algum servio, uma taxa de converso de 44%, justificando o propsito da configurao
feita;
8 participantes no tinham acesso s mtricas, apenas 4 adquiriram algum servio,
com taxa de converso de 50%;
A anlise nos valores de IPIs mostra a ordem de importncia que os participantes

atriburam aos seus perfis. Nas Figuras 6.4 e 6.3 so apresentadas as mdias de IPI para os
participantes sem acesso e com acesso s mtricas, respectivamente. Deve-se lembrar que os
valores podem variar entre 1 e 100.
Como se v, todos os participantes que configuraram seus perfis aplicaram maior importncia em seus Dados Financeiros, com o valor mdio na faixa de valores Me importo muito.
Curiosamente, os valores mdios de importncia dado ao perfil de localizao foi muito prximo,
independente da presena das mtricas. Os Dados Pessoais, de Relacionamento e Mdicos foram
considerados mais importantes pelas pessoas que no possuam acesso s mtricas em relao s
que no tinham acesso a informao quantitativa alguma, ao contrrio do que ocorreu com o
perfil Dados de Consumo.
6.5. RESULTADOS
100
Observando a distribuio de IPIs pode-se inferir que, quando os dados possuem uma
importncia alta para o indivduo, como o caso dos Dados Financeiros e de Localizao, a
presena de um indicador quantitativo de exposio contribuiu pouco para a deciso de autorizar
ou no o acesso aos dados. Quando o contexto de uso era recorrente em relao algumas
situaes reais, como o caso dos Dados Pessoais e de Dados Mdicos, notou-se a maior
divergncia - mdia de 7.5% a menos - entre a importncia dada por pessoas que possuiam ou
no acesso s mtricas.
Devido ao grau de intimidade que representam e baseado em pesquisas reais estudadas
durante o desenvolvimento deste trabalho, esperava-se que os Dados Mdicos apresentassem
importncia de magnitude similar aos Dados Financeiros.
Em (eur, 2011), onde se apresenta - de acordo com os autores - o maior survey j
conduzido, considerando o comportamento dos cidados e suas atitudes concernentes ao gerenciamento de identidade, proteo de dados e privacidade, a ordem de importncia estabelecida
pelos entrevistados era: Dados Financeiros > Dados Mdicos > Dados Pessoais. Similarmente,
em uma pesquisa realizada pelo International Institute of Communications (of Communications,
2012) em vrios pases ao redor do mundo, as preocupaes com Dados Financeiros, seguido de
Dados Mdicos e Pessoais eram as mais recorrentes.
A forma como os servios foram descritos no Estudo e inclusos na histria pode ter
impactado nestas observaes, j que a importncia depende da necessidade/utilidade do servio
e do contexto como um todo, alm das situaes serem fictcias; ao mesmo tempo que poupa o
participante do sentimento de culpa, ou de fazer algo errado, tambm tira a responsabilidade
de agir como faria na vida real, mesmo que tenha agido de forma sincera.
O nico servio que os participantes com acesso s mtricas utilizaram foi o Gugou
Maps, expondo seu perfil Dados de Localizao, com um IE mdio de 90, numa faixa de 0 a 100,
considerado um ndice de risco altssimo. J os participantes sem acesso s mtricas utilizaram
os seguintes servios, com os IEs mdios distribudos conforme mostra a Tabela 6.5.
Tabela 6.5: IE mdio por perfil, para participantes sem acesso s mtricas
Perfil
Dados Financeiros
Dados de Localizao
Dados Pessoais
IE Mdio
100,00
91,66
91,00
A diferena entre os servios utilizados e os respectivos IEs sugerem que a mtrica

baseada na importncia que o participante deu aos seus perfis, ou o inibiram de utilizar o
servio, ou o trade-off entre expor o perfil com o IE calculado e a utilidade/necessidade estava
desequilibrado, permitindo o decidir no utilizar o servio mas, quando o fez, por que se
imaginou alguma utilidade que justificava o risco.
Ao mesmo tempo em que se puderam coletar os dados mencionados at aqui, percebeu-se
que no foram visitados todos os caminhos possveis propostos na histria (ver heat map), o que
6.5. RESULTADOS
101
de certa forma comprometeu a anlise pela quantidade insatisfatria de participantes. Alm disso,
os servios Fakebook e Twistter no foram utilizados por nenhum participante, principalmente
por que os cenrios em que eles seriam teis no foram explorados.
Pela taxa de desistncia, imagina-se que a participao se deu principalmente pela
curiosidade, pela vontade de se saber do que se trata e, considerando o nmero de pessoas
que encerraram no Passo 2b, materializou a postura defensiva que costumamos assumir em
contextos desconhecidos, o que implica em se repensar o fluxo de decises em um prximo
experimento/estudo, ou mesmo considerar e desenvolver a possibilidade de mudana de opo
ou a recusa de exposio, buscando entender um pouco melhor este grupo de participantes.
Apesar dos dados apresentados indicarem que o uso de mtodos qualitativos para identificao do risco de exposio, dentro da aplicao usada no Estudo de Caso, foi efetivo, a
quantidade de pessoas que participaram foi insatisfatria, o que sugere a necessidade de uma nova
rodada do Estudo de Caso, ampliando a quantidade de cenrios, envolvendo os demais conceitos
propostos, como mltiplos provedores de servio, nveis de proposio de valor, mecanismo de
controle e convenincia, etc., e aplicando o experimento de forma controlada para um nmero
representativo de pessoas, por um tempo suficiente para evitar a interferncia da curiosidade dos
participantes.
Outra percepo a necessidade de se trabalhar a confiabilidade de uso da mtrica de
exposio, envolvendo a experincia de manuteno da relao com o provedor de servios
e quais as consequncias em caso de descontinuidade do uso do servio. Adicionalmente, a
princpio imaginou-se que o uso de servios e contexto j conhecidos iria suprir a explicitao de
valor agregado nas situaes propostas, porm, baseado na observao dos resultados notou-se
a ausncia de uma medida explcita de utilidade no Estudo de Caso, reforando a necessidade
da insero do conceito de nvel de proposio de valor em experimentos/estudos futuros, na
continuidade deste trabalho.
Paralelamente, algo que dificultou a anlise dos dados coletados foi a ausncia do
timestamp do momento de escolha do participante, ao ir de um passo a outro, que permitiria
analisar se houve a inteno de ajustar a importncia de um perfil de dados antes de se adquirir
um servio, com o intuito de se diminuir o risco. Ainda neste sentido, acredita-se que a noo de
risco de exposio no tenha ficado bem clara, apesar de ter sido trabalhada cuidadosamente e
apresentada de vrias formas visuais e textual.
Contudo, no se pode ignorar que os resultados permitem vislumbrar o potencial da
proposta, que precisa de um Estudo de Caso ou experimento mais complexo e elaborado, para
uma visualizao mais massiva de sua utilidade que permita ajustar alguns detalhes a fim
de desenvolver e evoluir uma verso real e completa do framework. Porm, considerando
estritamente o Estudo realizado, a resposta da questo guia da pesquisa que, quando apoiadas
por parmetros quantitativos, as pessoas so menos propensas a expor os seus dados.
6.5. RESULTADOS
Figura 6.2: Heat map da histria utilizada no Estudo de Caso
102
6.5. RESULTADOS
Figura 6.3: IPI Mdio por perfil, para participantes com acesso s mtricas
Figura 6.4: IPI Mdio por perfil, para participantes sem acesso s mtricas
103
6.6. AMEAAS AVALIAO
6.6
104
Ameaas avaliao
Esta seo tem por objetivo listar/reforar alguns pontos que podem ter impactado o
processo de validao:
O perfil de participantes escolhidos para fazer parte do experimento - mais envolvidos

na rea de TICs e habituados ao servios representados - pode ter influenciado nos
resultados, sendo suas decises tomadas baseada em seu conhecimento no mundo
real e no no contexto apresentado na histria;
Apesar do aspecto ldico e do isolamento da realidade, o participante pode ter
se sentido sem a responsabilidade ou necessidade de assumir riscos (que seriam
necessrios na vida real);
A forma como as informaes foram indicadas, especificamente o score, foi apontada
como confusa por alguns participantes, incluindo a proposta de risco e exposio;
Descobriu-se durante o perodo de execuo do estudo que alguns participantes no
conseguiram sair da subrotina de navegao devido a dificuldade. Pensou-se neste
grau de dificuldade como um motivo para o participante munir se de recursos (o
servio Fakebook por exemplo, que poderia ajudar neste caso), o que no ocorreu;
O ndice de desistncia foi parcialmente decorrente da curiosidade de algumas pessoas
que queria ver do que se tratava o gamebook interativo e no concluram a histria.
A densidade de informao em algumas partes da histria tambm contribuiu;
A quantidade de participantes foi considerada insatisfatria, pois acredita-se que,
se houvesse uma massa maior de dados, as vantagens/desvantagens e utilidade das
mtricas ficariam mais evidentes;
O fato de nem todos os caminhos da histria terem sido visitados acarretou na no
[necessidade de] utilizao de alguns servios.
Finalizada a apresentao da avaliao da proposta, o captulo a seguir vai elucidar as

concluses habilitadas por este trabalho e apontar as direes futuras para o framework proposto.
105
7
Concluso
I have fought the good fight,
I have finished the race,
I have kept the faith.
2 TIMOTHY 4:7 (Holy Bible, New International Version)
No decorrer deste trabalho estudou-se a problemtica decorrente da crescente populao

urbana, as consequncias negativas decorrentes e como uso de TICs pode colaborar na busca de
uma soluo efetiva, criando uma Cidade Inteligente.
Neste sentido, reconheceu-se a necessidade do envolvimento das pessoas na soluo,
usando-as como sensores vivos atravs de seus dispositivos mveis, a fim de se obter uma viso
contextualizada da cidade, atravs de dados fornecidos em tempo real, permitindo se ter mais
informaes nas situaes em que necessrio alguma interveno para benefcio dos cidados.
Como resultado deste envolvimento, parte dos dados trafegados tratam-se de informaes sensveis, de teor pessoal, que so expostos de maneira irresponsvel comprometendo a privacidade
dos indivduos.
Aps determinar o problema, buscou-se certificar de que as solues de Cidades Inteligente propostas at o momento, tanto na academia quanto na indstria, no cobriam satisfatoriamente o assunto privacidade. Depois disso, fez-se uma reviso sobre propostas de privacidade em
um conjunto de contextos inteligentes encontrados na literatura, a fim de se agrupar os requisitos
que esses trabalhos julgavam como importantes, com o propsito de se propor um framework de
privacidade para Cidades Inteligentes.
Paralelamente, se prope uma discusso do aspecto longo prazo de privacidade, envolvendo tecnologias e mecanismos legais, que reforam a necessidade de uma soluo adequada.
Convergindo os assuntos de CI, privacidade, requisitos e pessoas, prope-se uma classificao baseada em paradigmas centrados no usurio, em dados e em servios, argumentando a
importncia de focar a soluo de gerenciamento de dados pessoais no indivduo.
106
Finalmente se apresenta o Go!SIP, descrevendo os requisitos que compreende, e, rumo
finalizao, estreita-se o escopo de avaliao para os ndices propostos no framework que podem
auxiliar os indivduos na deciso de expor ou no seus dados. Descreve-se ento o Estudo de
Caso utilizado para avaliar a proposta, atravs de um gamebook interativo, utilizando a tcnica
de storytelling, e os resultados obtidos de sua aplicao.
Uma vez apresentado o Go!SIP, seguem algumas concluses, consideraes e direcionamento futuro para o trabalho.
7.1. PRINCIPAIS CONCLUSES
7.1
107
Principais Concluses
Esta seo tem como objetivo enumerar as principais concluses deste trabalho, que so
as seguintes:
Os mecanismos encontrados na literatura focam-se em prover privacidade a nvel de

servio (PCS) ou a nvel de dados (PCD), sendo o primeiro predominante na maioria
dos domnios estudados;
No possvel construir uma proposta de implementao de privacidade que atenda
estritamente apenas um paradigma, j que cada um deles tem a funo de cobrir uma
parte especfica no processo de proviso/consumo de servios;
A utilizao das tcnicas de storytelling e gamebook mostraram-se adequadas ao
tema da proposta, tendo uma boa recepo por parte dos participantes, apesar da taxa
de desistncia decorrente de algumas etapas do enredo utilizado;
Dentro dos cenrios apresentados no experimento de validao do framework, as
mtricas quantitativas demonstraram ter impacto na deciso de exposio de dados
pessoais.
7.2. TRABALHOS RELACIONADOS
7.2
108
Trabalhos Relacionados
Dentre os trabalhos estudados, algumas propostas de ndices quantitativos de privacidade

foram implementadas, adequados a cada contexto especfico, que podem ser citados.
Em (Sankar et al., 2013) proposto um mecanimo de quantificao do trade-off entre a
utilidade e quantidade (utilidade-privacidade) do dado exposto. O modelo aplicado medio
de consumo de energia eltrica de eletrodomsticos.
O clculo da relao utilidade-privacidade inicia-se com a leitura do consumo de energia
dos equipamentos domsticos, que serve de entrada para uma funo de transferncia que
obscurece os dados de consumo medido para um conjunto de valores de sada. Um modelo de
inferncia construdo paralelamente para gerar correlaes de hbitos de consumo, a partir dos
dados mensurados. O clculo de privacidade obtido atravs de um conceito proposto dentro
de Teoria da Informao, chamado Informao Mtua, mensurando o quanto se pode conseguir
de informao sobre os dados de consumo coletados a partir dos dados gerados por inferncia.
O clculo de utilidade feito atravs de uma Funo Abstrata de Utilidade, que categoriza os
dados de consumo obscurecidos de acordo com sua probabilidade de ocorrncia em relao aos
dados inferidos, utilizando a distncia Euclidiana.
O modelo de sensibilidade proposto est altamente acoplado ao contexto de Smart Grids.
Se portado para o ambiente de Cidades Inteligentes, esta poderia ser uma soluo de privacidade
auxiliar muito interessante para ser aplicada, porm, no seria efetiva quando considerada a
exposio de dados que, apesar de ter seus valores alterados temporalmente (devido ao mtodo
impreciso de medio, ou mesmo alterao decorrente da depreciao do dado), no caracterizam
padres ou hbitos de consumo.
Em (Boyer et al., 2006), na qual se prope um framework de privacidade para dados
de localizao in-place, os usurio podem, alm de especificar quem pode ter acesso a seus
dados de localizao, limitar a preciso com que essa informao divulgada, diminuindo a
sensibilidade do dado exposta e, consequentemente, diminuido o grau de exposio.
Em (Moncrieff et al., 2008) a sensibilidade do dado determina o nvel de privacidade a
ser aplicado. Para definir quo privado tal dado precisa ser, utiliza-se uma abordagem baseada
em regras predefinidas, cuja sada enviada para um filtro de dados, responsvel por refletir
o grau de privacidade calculado, usando tcnicas de ocultao ou obscurecimento. Como os
prprios autores afirmam, o framework proposto possui limitaes com relao escalabilidade
de contexto na gesto de mltiplas situaes, com caractersticas dinmicas, exatamente o tipo
de cenrio esperado para um ambiente urbano.
Oyomno et al. (Oyomno et al., 2011), que trata de privacidade em servios personalizados
providos dentro de espaos inteligentes, estabelece o nvel de privacidade baseado em uma
classificao predeterminado de que tipo de informao pessoal ser exposto e como o servio ir
manipular tal informao, conforme especificado em sua poltica. O indivduo deve definir suas
prprias polticas de exposio de suas informaes, porm, como a classificao determinada
7.2. TRABALHOS RELACIONADOS
109
por uma autoridade competente, pode estar desalinhada com a expectativa do indivduo; alm
disso, o que se entende do trabalho que o uso do servio est condicionado definio de uma
poltica aplicvel, o que pode engessar o usufruto de servios em espaos inteligentes.
O trabalhos reportado em (Salehie et al., 2012) apenas menciona que usa algum tipo de
clculo de sensibilidade, invaso ou exposio de dados, mas no descreve sua implementao.
Ao observar estas propostas, v-se que as solues so extremamente focadas no domnio
em que foram propostas. A ideia de ndices quantitativos utilizada neste trabalho uma composio de partes de solues para diversos contextos inteligentes, o que permite que seja mais
facilmente adequada a outros contextos, mesmo que em carater parcial ou auxiliar, englobando
informaes de teor pessoal tratadas isoladamente em cada uma dessas propostas.
7.3. TRABALHOS FUTUROS
7.3
110
Trabalhos Futuros
Consideram-se como trabalhos como trabalhos futuros da proposta aqui apresentada:
Incluso do Go!SIP na arquitetura de CI baseada em Internet da Coisas, proposta no

projeto de Mestrado entitulado Uma arquitetura para Cidades Inteligentes baseada
na Internet das Coisas, do MSc. Gustavo Henrique Rodrigues Pinto Tomas;
Construo de um mecanismo de convenincia e controle, usando uma abordagem
cognitiva, que possa ajustar os nveis de privacidade de forma autnoma, baseada nas
aes histricas do usurio;
Construo e validao de uma arquitetura para proviso de privacidade que satisfaa
os requisitos do framework apresentado neste trabalho;
Evoluo dos ndices apresentados para levarem em conta, alm do tempo, o contexto
(como local, tipo do atributo, etc.) no qual determinado atributo empregado;
Desenvolvimento de um modelo de maturidade de privacidade para CIs, baseado na
implementao progressiva dos requisitos propostos no Go!SIP.
7.4. CONSIDERAES FINAIS
7.4
111
Consideraes Finais
A utilizao de pessoas como sensores na criao das to faladas Cidades Inteligentes

apresenta-se como uma abordagem vantajosa, tanto do ponto de vista social e econmico, quanto
do ponto de vista tecnolgico. Entretanto, esse envolvimento levanta uma srie de preocupaes
em relao manuteno da privacidade e traz a tona uma preocupao que parecia tcita (ou
inexistente) at o presente momento, sobre o efeito longo prazo de manuteno de privacidade.
A necessidade de novas formas de manuteno de dados pessoais iminente, nas quais
as pessoas sejam engajadas e no fiquem merc de jarges ou conceitos tecnolgicos, em
plena concordncia com mecanismos legais cabveis, estimulando provedores de servios a
trabalharem seus modelos de negcios de forma a priorizar a transparncia e o equilbrio de
interesses com seus consumidores.
Com esta finalidade, o trabalho descrito nesta dissertao apresentou o Go!SIP, um
framework para manuteno de dados pessoais, voltado para criao de um meio adequado de
proviso de privacidade dentro do contexto de CI, no qual as pessoas - os cidados - sintam-se
engajadas, no controle, providos de informao suficiente para tomar decises conscientes de
exposio de seus dados, em qualquer extenso e, mais que isso, assumam sua posio de agentes
de mudana no processo de smartening de sua cidade.
112
Referncias
(2011). Attitudes on Data Protection and Electronic Identity in the European Union.
Afonso, R. A., da Silva, W. M., Tomas, G. H., Gama, K., Oliveira, A., Alvaro, A., and Garcia,
V. C. (2013). Br-SCMM: Modelo Brasileiro de Maturidade para Cidades Inteligentes.
Anais do IX Simpsio Brasileiro de Sistemas de Informao (SBSI), Trilha Especial - SI e os
Desafios do Mundo Aberto.
Al-Hader, M., Rodzi, A., Sharif, A., and Ahmad, N. (2009). Smart City Components
Architecture. In Computational Intelligence, Modelling and Simulation, pages 9397.
Andreini, F., Crisciani, F., Cicconetti, C., and Mambrini, R. (2011). A scalable architecture for
geo-localized service access in smart cities. In Future Network & Mobile Summit
(FutureNetw), 2011, pages 18. IEEE.
Anthopoulos, L. and Fitsilis, P. (2010). From digital to ubiquitous cities: Defining a
common architecture for urban development. In Intelligent Environments (IE), 2010 Sixth
International Conference on, pages 301306. IEEE.
Asimakopoulou, E. and Bessis, N. (2011). Buildings and crowds: Forming smart cities for
more effective disaster management. In Innovative Mobile and Internet Services in
Ubiquitous Computing (IMIS), 2011 Fifth International Conference on, pages 229234. IEEE.
Assembly, U. G. (1948). Universal declaration of human rights. Retrieved February, 22,
2010.
Attwood, A., Merabti, M., Fergus, P., and Abuelmaatti, O. (2011). SCCIR: Smart Cities
Critical Infrastructure Response Framework. In Developments in E-systems Engineering
(DeSE), 2011, pages 460464. IEEE.
Atzori, L., Iera, A., and Morabito, G. (2010). The Internet of Things: A survey. Comput.
Netw., 54(15), 27872805.
Bages, S. A., Zeidler, A., Valdivielso, C. F., and Matias, I. R. (2007). Sentry@
home-leveraging the smart home for privacy in pervasive computing. International
Journal of Smart Home, 1(2), 129146.
Balakrishna, C. (2012). Enabling Technologies for Smart City Services and Applications.
In Next Generation Mobile Applications, Services and Technologies (NGMAST), 2012 6th
Banisar, D. and Davies, S. (1999). Privacy and human rights: an international survey of
privacy laws and practice. Global Internet Liberty Campaign.
Bauer, A., Emter, T., Vagts, H., and Beyerer, J. (2009). Object oriented world model for
surveillance systems. In Future Security: 4th Security Research Conference, pages 339345.
Fraunhofer Verlag.
Baxter, P. and Jack, S. (2008). Qualitative case study methodology: Study design and
implementation for novice researchers. The qualitative report, 13(4), 544559.
REFERNCIAS
113
Bird, S. J. (2013). Security and Privacy: Why Privacy Matters. Science and engineering
ethics, pages 13.
Blackstock, M., Kaviani, N., Lea, R., and Friday, A. (2010). MAGIC Broker 2: An open and
extensible platform for the Internet of Things. In Internet of Things (IOT), 2010, pages 18.
Bohli, J.-M., Sorge, C., and Ugus, O. (2010). A privacy model for smart metering. In
Communications Workshops (ICC), 2010 IEEE International Conference on, pages 15. IEEE.
Borges, J. L. (1941). An Examination of the Work of Herbert Quain. Ficciones, pages
7378.
Bowerman, B., Braverman, J., Taylor, J., Todosow, H., and von Wimmersperg, U. (2000). The
vision of a smart city. In 2nd International Life Extension Technology Workshop, Paris.
Boyer, J. P., Tan, K., and Gunter, C. A. (2006). Privacy sensitive location information
systems in smart buildings. In Security in Pervasive Computing, pages 149164. Springer.
Bnnig, C. (2009). Smart privacy management in ubiquitous computing environments. In
Human Interface and the Management of Information. Information and Interaction, pages
131139. Springer.
Busnel, P., El-Khoury, P., Giroux, S., and Li, K. (2008). Achieving socio-technical
confidentiality using security pattern in smart homes. In Future Generation Communication
and Networking, 2008. FGCN08. Second International Conference on, volume 2, pages
447452. IEEE.
Campbell, A. T., Eisenman, S. B., Lane, N. D., Miluzzo, E., and Peterson, R. A. (2006).
People-centric urban sensing. In Proceedings of the 2nd annual international workshop on
Wireless internet, page 18. ACM.
Chaum, D. L. (1981). Untraceable electronic mail, return addresses, and digital
pseudonyms. Communications of the ACM, 24(2), 8490.
Chen, L., Ali Babar, M., and Ali, N. (2009). Variability management in software product
lines: a systematic review. In Proceedings of the 13th International Software Product Line
Conference, pages 8190. Carnegie Mellon University.
Cheung, J. C. L., Chim, T. W., Yiu, S.-M., Hui, L. C., and Li, V. O. (2011). Credential-based
privacy-preserving power request scheme for smart grid network. In Global
Telecommunications Conference (GLOBECOM 2011), 2011 IEEE, pages 15. IEEE.
Chillon, P. S. (2012). If (Urban) Life is a game, (Smart) Cities are the Playgrounds.
Gamification, civic rewards and crowd sourcing strategies for connected and savvy cities.
http://urban360.me/. "[Online] Available: 24-August-2012".
Chim, T., Yiu, S., Hui, L. C., and Li, V. O. (2011). PASS: Privacy-preserving authentication
scheme for smart grid network. In Smart Grid Communications (SmartGridComm), 2011
IEEE International Conference on, pages 196201. IEEE.
Cho, Y., Cho, S., Choi, D., Jin, S., Chung, K., and Park, C. (2004). A location privacy
protection mechanism for smart space. In Information Security Applications, volume 2908,
pages 162173. Springer.
REFERNCIAS
114
Chui, M., Brown, B., Bughin, J., Dobbs, R., Roxburgh, C., and Manyika, A. H. B. J. (2011). Big
Data: The next frontier for innovation, competition, and productivity. Technical report,
McKinsey Global Institute.
Commission, F. T. et al. (2007). Fair information practice principles. "[Online] Available:
01-Maio-2014".
Computer Security Division, I. T. L. N. (2013). Security and Privacy Controls for Federal
Information Systems and Organizations. NIST Special Publication 800-53, Revision 4.
Crowder, N. A. (1958). Arithmetic of Computers. An Introduction to Binary and Octal
Mathematics. A Tutor Text, 1958, pp. i-iv and 1-18.
da Repblica Casa Civil Subchefia para Assuntos Jurdicos, P. (1984). Lei n 7.232, de 29 de
Outubro de 1984. Brasil.
da Repblica Casa Civil Subchefia para Assuntos Jurdicos, P. (1997). LEI N 9.472, DE 16
DE JULHO DE 1997. Brasil.
da Silva, W. M., Alvaro, A., Tomas, G. H., Afonso, R. A., Dias, K. L., and Garcia, V. C. (2013).
Smart cities software architectures: a survey. In Proceedings of the 28th Annual ACM
Symposium on Applied Computing, pages 17221727. ACM.
Derudder, B. (2011). International handbook of globalization and world cities. Edward Elgar
Publishing.
Diallo, A. (2013). Google Remembers Where You Were. http://glo.bo/1kt0RFA.
"[Online] Available: 30-March-2014".
Dirks, S. and Keeling, M. (2009). A vision of smarter cities: How cities can lead the way
into a prosperous and sustainable future. IBM Institute for Business Value. June.
Efthymiou, C. and Kalogridis, G. (2010). Smart grid privacy via anonymization of smart
metering data. In Smart Grid Communications (SmartGridComm), 2010 First IEEE
Eisner, W. (2005). Narrativas Grficas. Prazeres, Mauro M. dos, 1 edition.
Eisner, W. (2008). Narrativas grficas: princpios e prticas da lenda dos quadrinhos. Devir.
European Comission, D.-G. f. J. (2012). How does the data protection reform strengthen
citizens rights? "[Online] Available: 01-Maio-2014".
Filipponi, L., Vitaletti, A., Landi, G., Memeo, V., Laura, G., and Pucci, P. (2010). Smart city:
An event driven architecture for monitoring public spaces with heterogeneous sensors. In
Sensor Technologies and Applications (SENSORCOMM), 2010 Fourth International Conference
on, pages 281286. IEEE.
Fischetti, M. (2011). The Smartest Cities Will Use People as Their Sensors.
http://bit.ly/PabVWb. "[Online] Available: 16-August-2012".
Forum, W. E. (2013). Unlocking the Value of Personal Data: From Collection to Usage.
Technical report, World Economic Forum, in collaboration with The Boston Consulting Group,
Geneva.
REFERNCIAS
115
FutureSight (2012). GSMA Research into mobile users privacy attitudes: Key findings
from Brazil. http://bit.ly/1frUVGm. "[Online] Available: 23-April-2014".
Gamebooks.org (2002). Frequently Asked Questions. "[Online] Available: 18-Maio-2014".
Ganti, R. K., Ye, F., and Lei, H. (2011). Mobile crowdsensing: current state and future
challenges. Communications Magazine, IEEE, 49(11), 3239.
Gehl, J. (2010). Cities for people. Island Press.
Gil-Castineira, F., Costa-Montenegro, E., Gonzalez-Castano, F. J., Lpez-Bravo, C., Ojala, T.,
and Bose, R. (2011). Experiences inside the ubiquitous oulu smart city. Computer, 44(6),
4855.
Gong, S. and Li, H. (2011). Anybody home? Keeping user presence privacy for advanced
metering in future smart grid. In GLOBECOM Workshops (GC Wkshps), 2011 IEEE, pages
12111215. IEEE.
Greenfield, A. (2013). Against the Smart City. Parte do livro The City is Here for You to Use
It.
Guennoun, M. and El-Khatib, K. (2009). Securing medical data in smart homes. In Medical
Measurements and Applications, 2009. MeMeA 2009. IEEE International Workshop on, pages
104107. IEEE.
Hall, N. (2012). Are There Really More Mobile Phones Than Toothbrushes?
http://bit.ly/RInZMi. "[Online] Available: 1-August-2012".
Haubensak, O. (2011). Smart Cities and Internet of Things. Business Aspects of the Internet
of Things, page 33.
Heinroth, T. and Minker, W., editors (2011). Next Generation Intelligent Environments:
Ambient Adaptive Systems. Springer, Boston (USA).
Hermann, F., Blach, R., Janssen, D., Klein, T., Schuller, A., and Spath, D. (2009). Challenges
for user centered smart environments. In Human-Computer Interaction. Ambient, Ubiquitous
and Intelligent Interaction, pages 407415. Springer.
Hernndez-Muoz, J. M., Vercher, J. B., Muoz, L., Galache, J. A., Presser, M., Gmez, L.
A. H., and Pettersson, J. (2011). Smart cities at the forefront of the future internet. In The
future internet, pages 447462. Springer.
IBM (2012). IBM Smarter Healthcare. http://ibm.co/bCJpHX. "[Online] Available:
19-November-2012".
Ishida, T. (2002). Digital city kyoto. Communications of the ACM, 45(7), 7681.
Kalogridis, G., Efthymiou, C., Denic, S. Z., Lewis, T. A., and Cepeda, R. (2010). Privacy for
smart meters: Towards undetectable appliance load signatures. In Smart Grid
Communications (SmartGridComm), 2010 First IEEE International Conference on, pages
232237. IEEE.
REFERNCIAS
116
Kapadia, A., Kotz, D., and Triandopoulos, N. (2009). Opportunistic sensing: Security
challenges for the new paradigm. In Communication Systems and Networks and Workshops,
2009. COMSNETS 2009. First International, pages 110. IEEE.
Keele, S. (2007). Guidelines for performing Systematic Literature Reviews in Software
Engineering. Technical report, EBSE Technical Report EBSE-2007-01.
Khurum, M. and Gorschek, T. (2009). A systematic review of domain analysis solutions for
product lines. Journal of Systems and Software, 82(12), 19822003.
Kistler, F., Sollfrank, D., Bee, N., and Andr, E. (2011). Full body gestures enhancing a game
book for interactive story telling. In Interactive storytelling, pages 207218. Springer.
Kitchenham, B., Pickard, L., and Pfleeger, S. L. (1995). Case studies for method and tool
evaluation. IEEE software, 12(4), 5262.
Kite, V. (2014). Urbanization and the evolution of cities across 10,000 years. "[Online]
Available: 01-Maio-2014".
Klein, C. and Kaefer, G. (????). From smart homes to smart cities: Opportunities and challenges
from an industrial perspective.
Komninos, N. and Sefertzi, E. (2009). Intelligent cities: R&D offshoring, Web 2.0 product
development and globalization of innovation systems. Second Knowledge Cities Summit.
Knings, B., Schaub, F., Weber, M., and Kargl, F. (2010). Towards territorial privacy in
smart environments. In AAAI Spring Symposium: Intelligent Information Privacy
Management.
Krontiris, I. and Dimitriou, T. (2013). Privacy-respecting discovery of data providers in
crowd-sensing applications. In Distributed Computing in Sensor Systems (DCOSS), 2013
IEEE International Conference on, pages 249257. IEEE.
Laney, D. (2001). 3D data management: Controlling data volume, velocity and variety.
META Group Research Note, 6.
Lee, J., Baik, S., and Lee, C. (2011). Building an integrated service management platform
for ubiquitous cities. Computer, 44(6), 5663.
Li, X., Xu, G., and Li, L. (2008). RFID based smart home architecture for improving lives.
In Anti-counterfeiting, Security and Identification, 2008. ASID 2008. 2nd International
Conference on, pages 440443. IEEE.
Liampotis, N., Roussaki, I., Papadopoulou, E., Abu-Shaaban, Y., Williams, M. H., Taylor, N. K.,
McBurney, S., and Dolinar, K. (2009). A privacy framework for personal self-improving
smart spaces. In Computational Science and Engineering, 2009. CSE09. International
Conference on, volume 3, pages 444449. IEEE.
Lioudakis, G. V., Koutsoloukas, E. A., Dellas, N. L., Tselikas, N., Kapellaki, S., Prezerakos,
G. N., Kaklamani, D. I., and Venieris, I. S. (2007). A middleware architecture for privacy
protection. Computer Networks, 51(16), 46794696.
REFERNCIAS
117
Lioudakis, G. V., Kaklamani, D. I., and Venieris, I. S. (2009). Personal data protection under
the InfoCity lights. In Wireless Technology Conference, 2009. EuWIT 2009. European, pages
104107. IEEE.
LUO, J. (2004). The security and privacy of smart vehicles. IEEE Security & Privacy.
Lupiana, D., Mtenzi, F., ODriscoll, C., and OShea, B. (2010). Strictly alphanumeric data:
Improving privacy in smart environments. In Internet Technology and Secured Transactions
(ICITST), 2010 International Conference for, pages 13. IEEE.
Ma, H., Zhao, D., and Yuan, P. (2014). Opportunities in mobile crowd sensing.
Communications Magazine, IEEE, 52(8), 2935.
Maisonnasse, J., Gourier, N., Brdiczka, O., Reignier, P., and Crowley, J. L. (2006). Detecting
privacy in attention aware system. In Intelligent Environments, 2006. IE 06. 2nd IET
International Conference on, volume 2, pages 231239. IET.
Malek, J. A. (2009). Informative global community development index of informative
smart city. In Proceedings of the 8th WSEAS International Conference on Education and
Educational Technology, pages 1719.
Marmol, F. G., Sorge, C., Ugus, O., and Prez, G. M. (2012). Do not snoop my habits:
preserving privacy in the smart grid. Communications Magazine, IEEE, 50(5), 166172.
Meira, S. (2014). Definindo Big Data. "[Online] Available: 28-Abril-2014".
Miles, M. B. and Huberman, A. M. (1994). Qualitative data analysis: An expanded
sourcebook. Sage.
Milne, J. (1999). Questionnaires: advantages and disadvantages. Learning Technology
Dissemination Initiative.
Mitchell, C., Mitchell, C., and Mitchell, C. (2005). Trusted computing. Springer.
Moncrieff, S., Venkatesh, S., and West, G. (2008). Dynamic privacy assessment in a smart
house environment using multimodal sensing. ACM Transactions on Multimedia Computing,
Communications, and Applications (TOMCCAP), 5(2), 10.
Montagna, J. A. (2014). The Industrial Revolution. "Yale-New Haven Teachers Institute,
[Online] Available: 01-Maio-2014".
Mostashari, A., Arnold, F., Maurer, M., and Wade, J. (2011). Citizens as sensors: The
cognitive city paradigm. In Emerging Technologies for a Smarter World (CEWIT), 2011 8th
International Conference & Expo on, pages 15. IEEE.
Mouratidis, H. and Giorgini, P. (2007). Integrating security and software engineering:
advances and future visions. IGI Global.
Nacional, C. (2014). Projeto de Lei n 21, de 2014 (Marco Civil). Brasil.
Nam, T. and Pardo, T. A. (2011). Conceptualizing smart city with dimensions of technology,
people, and institutions. In Proceedings of the 12th Annual International Digital Government
Research Conference: Digital Government Innovation in Challenging Times, pages 282291.
ACM.
REFERNCIAS
118
Nandakumar, V., Prathapaneni, N. K., Rajamani, N., and Subramaniam, L. V. (2013).

Information gathering via crowd-sensing. US Patent App. 13/755,767.
Narayanan, A. and Shmatikov, V. (2008). Robust de-anonymization of large sparse datasets.
In Security and Privacy, 2008. SP 2008. IEEE Symposium on, pages 111125. IEEE.
of Communications, I. I. (2012). Personal Data Management: The Users Perspective.
Technical report, International Institute of Communications.
of Standarts, N. I. and Technology (2010). Guidelines for Smart Grid Cyber Security.
Technical Report Privacy and the Smart Grid, The Smart Grid Interoperability Panel Cyber
Security Working Group, NIST.
of State Freedom of Information Act (FOIA), U. D. (1974). The Privacy Act.
Ohm, P. (2010). Broken promises of privacy: Responding to the surprising failure of
anonymization. UCLA Law Review, 57(6).
Oyomno, W., Japinen, P., and Kerttula, E. (2011). Privacy preservation for personalised
services in smart spaces. In Internet Communications (BCFIC Riga), 2011 Baltic Congress on
Future, pages 181189. IEEE.
Pan, J.-G., Lin, Y.-F., Chuang, S.-Y., and Kao, Y.-C. (2011). From governance to
service-smart city evaluations in Taiwan. In Service Sciences (IJCSS), 2011 International
Joint Conference on, pages 334337. IEEE.
Paulos, E. (2009). Designing for doubt citizen science and the challenge of change. In in
Engaging Data: First International Forum on the Application and Management of Personal
Electronic Information. 2009: MIT. Citeseer.
Pekala, R. (1991). US Department of Energy. US Patent 4,997,804.
Pincus, W. (2013). Many cameras, little privacy. http://wapo.st/1g5WRDH. "[Online]
Available: 30-March-2014".
PlanIT, L. (2012). Cities in the Cloud, A Living PlanIT Introduction to Future City
Technologies. In Living PlanIT. Living PlanIT.
Plumb, D., Leverman, A., and McGray, R. (2007). The learning city in a planet of slums.
Studies in Continuing Education, 29(1), 3750.
Publishing, O. and OECD. Publishing (2002). OECD Guidelines on the Protection of Privacy
and Transborder Flows of Personal Data. Organisation for Economic Co-operation and
Development.
Ratti, C. and Nabian, N. (2010). The City to Come. Innovation: Perspectives for the 21st
Century, BBVA.
Ratti, C. and Townsendn, A. (2011). Harnessing Residents Electronic Devices Will Yield
Truly Smart Cities. http://bit.ly/17Yb2wR. "[Online] Available:
27-November-2013".
Reader, J. (2004). Cities. Grove Press.
REFERNCIAS
119
Reding, V. (2012). The EU Data Protection Reform 2012: Making Europe the Standard
Setter for Modern Data Protection Rules in the Digital Age. In Innovation Conference
Digital, Life, Design Munich, volume 22.
Roduner, C. (2003). Citizen Controlled Data Protection in a Smart World.
Rubinstein, I. S. (2013). Big Data: The End of Privacy or a New Beginning? International
Data Privacy Law Advance Access. Public Law & Legal Theory Research Paper Series Working
Paper N 12-56, "[Online] Available: 30-March-2014".
Salehie, M., Pasquale, L., Omoronyia, I., and Nuseibeh, B. (2012). Adaptive security and
privacy in smart grids: A software engineering vision. In Software Engineering for the
Smart Grid (SE4SG), 2012 International Workshop on, pages 4649. IEEE.
Sanchez, L., Galache, J. A., Gutierrez, V., Hernandez, J., Bernat, J., Gluhak, A., and Garcia, T.
(2011). SmartSantander: The meeting point between Future Internet research and
experimentation and the smart cities. In Future Network & Mobile Summit (FutureNetw),
2011, pages 18. IEEE.
Sankar, L., Rajagopalan, S. R., Mohajer, S., and Poor, H. V. (2013). Smart meter privacy: A
theoretical framework. Smart Grid, IEEE Transactions on, 4(2), 837846.
Searls, D. (2012). The Intention Economy: When Customers Take Charge. Harvard Business
Press.
Seligman, F. (2014). Marco Civil: a fora das operadoras de telefonia por trs da disputa
poltica. "[Online] Available: 01-Maio-2014".
Senado, D. (1988). Constituio da Repblica Federativa do Brasil de 1988. Brasil.
Sentupta, S. (2013). Privacy Fears Grow as Cities Increase Surveillance.
http://nyti.ms/1eOwFBm. "[Online] Available: 30-March-2014".
SETIS (2012). Strategic Energy Technologies Information System. http://bit.ly/TaNU41.
"[Online] Available: 19-November-2012".
Siddiqui, F., Zeadally, S., Alcaraz, C., and Galvao, S. (2012). Smart grid privacy: Issues and
solutions. In Computer Communications and Networks (ICCCN), 2012 21st International
Conference on, pages 15. IEEE.
Simo Fhom, H., Kuntze, N., Rudolph, C., Cupelli, M., Liu, J., and Monti, A. (2010). A
user-centric privacy manager for future energy systems. In Power System Technology
(POWERCON), 2010 International Conference on, pages 17. IEEE.
Sperber, D., Wilson, D., He, Z. ., and Ran, Y. . (1986). Relevance: Communication and
cognition.
Stake, R. E. (1995). The art of case study research. Sage.
Stone, G. R. (2013). The Boston Bombing, The Right of Privacy and Surveillance
Cameras. http://huff.to/1eYGjww. "[Online] Available: 30-March-2014".
REFERNCIAS
120
Suomalainen, J. and Hyttinen, P. (2011). Security Solutions for Smart Spaces. In

Applications and the Internet (SAINT), 2011 IEEE/IPSJ 11th International Symposium on, pages
297302. IEEE.
Sweden, V. (2009). The Fun Theory. http://bit.ly/Qbf7CD. "[Online] Available:
8-July-2012".
Swire, P. and Lagos, Y. (2013). Why the right to data portability likely reduces consumer
welfare: Antitrust and privacy critique. Maryland Law Review, 72(2).
Tene, O. and Polonetsky, J. (2012). Big Data for All: Privacy and User Control in the Age
of Analytics. Northwestern Journal of Technology and Intellectual Property, (239).
The World Bank (2013). Urban Population. http://bit.ly/17OWbio. "[Online]
Available: 25-October-2012".
Townsend, D., Knoefel, F., and Goubran, R. (2011). Privacy versus autonomy: A tradeoff
model for smart home monitoring technologies. In Engineering in Medicine and Biology
Society, EMBC, 2011 Annual International Conference of the IEEE, pages 47494752. IEEE.
United Nations (2007). World Urbanization Prospects: The 2006 Revision. Technical report,
Department of Economic and Social Affairs, Population Division.
United Nations (2011). World Urbanization Prospects: The 2011 Revision. Technical report,
Department of Economic and Social Affairs, Population Division.
United Nations (2014). World Urbanization Prospects: The 2014 Revision, Highlights.
Technical report, Department of Economic and Social Affairs, Population Division.
Vagts, H., Bauer, A., Emter, T., and Beyerer, J. (2009). Privacy enforcement in surveillance
systems. In Future security: 4th Security Research Conference.
Van Heerde, H., Anciaux, N., Feng, L., and Apers, P. M. (2006). Balancing smartness and
privacy for the Ambient Intelligence. In Smart Sensing and Context, pages 255258.
Springer.
Ventura, F. (2014). Marco Civil da internet sancionado por Dilma e comea a valer em
60 dias. "[Online] Available: 01-Maio-2014".
Walravens, N. (2011). The city as a platform. In Intelligence in Next Generation Networks
(ICIN), 2011 15th International Conference on, pages 283288. IEEE.
Weiser, M., Gold, R., and Brown, J. S. (1999). The origins of ubiquitous computing research
at PARC in the late 1980s. IBM systems journal, 38(4), 693696.
Westin, A. A. F. (1968). Privacy and freedom. Washington and Lee Law Review, 25(1), 166.
Winpenny, J. (2008). The United Nations World Water Assessment Programme: Investing
in information, knowledge and monitoring. Technical report, United Nations Educational,
Scientific and Cultural Organization.
Yin, R. K. (2014). Case study research: Design and methods. Sage publications.
Zygiaris, S. (2013). Smart City Reference Model: Assisting Planners to Conceptualize the
Building of Smart City Innovation Ecosystems. Journal of the knowledge economy, 4(2),
217231.
121
Apndice
122
A
Reviso Sistemtica
Tabela A.1: Motores e termos de busca utilizados na Questo de Pesquisa 1
Motor de busca
ACM
CITESEERX
IEEE
ScienceDirect
Scopus
SpringerLink
WIPO (Patentes)
Termos de busca da Questo 1

(((Abstract:smart OR (Abstract:smart AND (Abstract:city OR Abstract:cities))) AND (Abstract:privacy OR (Abstract:privacy AND
(Abstract:framework OR Abstract:architecture)))))
(((abstract:smart OR (abstract:smart AND (abstract:city OR abstract:cities))) AND (abstract:privacy OR (abstract:privacy AND
(abstract:framework OR abstract:architecture)))))
(((smart OR (smart AND (city OR cities))) AND (privacy OR
(privacy AND (framework OR architecture)))))
TITLE-ABS-KEY(smart OR "smart city"OR "smart cities") AND
TITLE-ABS-KEY(privacy OR "privacy framework"OR "privacy
architecture")
TITLE-ABS-KEY(privacy OR "privacy framework"OR "privacy
architecture") AND (LIMIT-TO(SUBJAREA, "COMP"))
(smart OR "smart city"OR "smart cities") AND TITLE-ABSKEY(privacy OR "privacy framework"OR "privacy architecture")
(((smart OR (smart AND (city OR cities))) AND (privacy OR
(privacy AND (framework OR architecture)))))
123
Tabela A.2: Motores e termos de busca utilizados na Questo de Pesquisa 2
Motor de busca
ACM
CITESEERX
IEEE
ScienceDirect
Scopus
SpringerLink
WIPO (Patentes)
Termos de busca da Questo 2

(Abstract:"smart city"OR Abstract:"smart cities") AND (Abstract:architecture) AND (Abstract:privacy OR Abstract:"privacy
management")
(abstract:("smart city") OR abstract("smart cities")) AND abstract:architecture AND (abstract:privacy OR abstract:"privacy management")
(("smart city"OR "smart cities") AND architecture AND (privacy
OR "privacy management"))
TITLE-ABS-KEY("smart city"OR "smart cities") AND TITLEABS-KEY(architecture) AND TITLE-ABS-KEY(privacy OR "privacy management")
TITLE-ABS-KEY(architecture) AND TITLE-ABS-KEY(privacy
OR "privacy management") AND (LIMIT-TO(SUBJAREA,
"COMP"))
(("smart city"or "smart cities") and architecture and (privacy or
"privacy management"))
(architecture and (privacy or "privacy management"))
Tabela A.3: Data de execuo das buscas
Motor de busca
ACM
CITESEERX
IEEE
ScienceDirect
Scopus
SpringerLink
WIPO (Patentes)
Q1
11/10/2012
12/10/2012
09/10/2012
12/10/2012
12/10/2012
16/10/2012
21/10/2012
Q2
12/10/2012
12/10/2012
12/10/2012
12/10/2012
12/10/2012
12/10/2012
21/10/2012
124
B
Go!SIP, a histria
B.1
Enredo
(Incio - Apresentao)
O que antes era privado, agora pblico,
O que antes era difcil de copiar, agora trivial para duplicar,
O que antes era facilmente esquecido, agora armazenado para sempre.
Ron Rivest - Reversal of defaults
Opo 1: Iniciar a aventura - Vai para o Passo 0
B.1.1
(Passo 0)
Seu voo acaba de pousar em Privus.

Voc olha para fora, o cu azul, os arranha-cus, a paisagem urbana e suspira... a
oportunidade que voc queria de comear uma nova vida por aqui, independente do que tenha
acontecido antes.
Voc pega sua bagagem de mo e aguarda sua vez de desembarcar, at que um senhor de
aparncia jovial acena para que voc possa assumir seu lugar na fila.
No corredor estreito da aeronave voc olha vrias pessoas, conterrneos, e se questiona
se esto aqui com as mesmas expectativas que voc. Mentalmente voc deseja a todas elas muita
sorte no recomeo.
Finalmente sua vez de sair do avio; bom respirar ar puro depois de 12 horas de voo.
Todos so direcionados para os balces do servio de imigrao.
agora.
Opo 1: Ir para o servio de imigrao - Vai para o Passo 1
B.1. ENREDO
B.1.2
125
(Passo 1)
A fila no est to grande quanto voc esperava. Assim que a famlia sua frente
atendida, voc j fica aguardando ser chamado. Um aceno e voc convidado a se aproximar do
guich:
Um momento... Sua documentao, por favor, diz o funcionrio do servio de imigrao.
Voc se supreende quando ele te informa que aqui voc pode optar entre algumas formas
no convencionais pelas quais voc pode fornecer seus dados, alm da velha forma manual,
claro.
De onde voc veio esses servios so to formais, que voc nunca imaginaria que algum
dia as opes a seguir seriam apresentadas a voc.
Ento, o que voc vai querer fazer?
*Nas opes de fornecimento de dados via redes sociais, o usurio era direcionado para
uma tela de login; assim que autenticado, as informaes necessrias eram recuperadas de
perfil. A saber: nome, sexo, data de nascimento, email e foto.
Opo 1: Fornecer dados do Facebook - Vai para o Passo 2c
Opo 2: Fornecer dados do LinkedIn - Vai para o Passo 2c
Opo 3: Fornecer dados manualmente - Vai para o Passo 2c
Opo 4: No quero fornecer meus dados
B.1.3
(Passo 2a)
"Suas feies me dizem que voc vem de alm das fronteiras do Mar Prestos, terras que
esto sendo destrudas na guerra pela posse dos [escassos] recursos hdricos da regio, h? OK.
Deixe-me ver sua documentao..."
Voc aguarda apreensivo enquanto ele analisa sua documentao.
"Bom, pelo que vejo aqui est tudo certo. Seja bem vindo a Privus. Ah! E j ia me
esquecendo! Antes de mais nada, certifique-se de sempre levar seu dispositivo mvel, smartphone
ou tablet, com voc; caso seja necessrio contat-lo ou voc queira usar algum servio, ele ser
essencial."
Opo 1: Saber mais sobre Privus - Vai para o Passo 3
B.1.4
(Passo 2b)
At tempos atrs, Privus sempre esteve de braos abertos para receber pessoas de
diferentes pases e culturas. At que essa confiana foi trada.
B.1. ENREDO
126
Figura B.1: Formulrio de Dados Pessoais
Devido ao ataque terrorista que destruiu nosso pas e nos forou a reconstruir do nada,
no permitimos a entrada de estrangeiros que no submetam suas informaes pessaois nossa
averiguao.
Voc ser levado at a sala de longa espera enquanto formalizamos sua deportao.
(Fim da histria)
B.1.5
(Passo 2c)
Aqui voc pode configurar cada grupo de dados de forma individual.

Certifique-se de configurar a importncia de cada grupo de dados, para influenciar na sua
experincia nas prximas etapas.
Atente-se para informar aqui o quo importante voc considera cada perfil seu - dados
pessoais, financeiro, localizao, mdicos e relacionamento - representando o quo privado voc
o considera.
Voc deve preencher os campos assinalados com (*).
Formulrio de Dados Pessoais - Figura B.1
Formulrio de Dados Financeiros (Fictcios) - Figura B.2
Formulrio de Dados de Consumo (Fictcios) - Figura B.3
Formulrio de Dados Localizao (Fictcios) - Figura B.4
Formulrio de Dados Mdicos (Fictcios) - Figura B.5
Formulrio de Dados de Relacionamento - Figura B.6
Opo 1: Continuar - Vai para o Passo 2a
B.1. ENREDO
127
Figura B.2: Formulrio de Dados Financeiros (Fictcios)
B.1.6
(Passo 3)
"Bom, acho que voc j deve ter ouvido algo sobre nosso pas e nossa cidade, mas ainda
assim quero deixar claro para voc como anda a situao por aqui."
"Secreta, nosso querido pas, j no a mesma coisa desde 2015, quando o governo assumiu publicamente que monitorava toda e qualquer transao realizada por meios convencionais
ou eletrnicos. A notcia causou revolta generalizada no pas, acentuando a confuso gerada
pelas constantes denncias de corrupo na alta cpula governamental. As coisas se tornaram
meio hostis por aqui."
"E como se no bastasse o impacto que a economia sofreu por conta das mazelas polticas,
o pas foi assolado por um ataque terrorista, motivado pela existncia esclarecida das indstrias
de armamento biolgico e nuclear instaladas aqui."
"Hoje, dois anos depois de o caos ter se instaurado, o pas est saindo da fase de
reconstruo. Privus foi, certamente a cidade mais atingida pelo que ocorreu, por conta de ser
B.1. ENREDO
128
Figura B.3: Formulrio de Dados de Consumo (Fictcios)
o centro poltico e econmico do pas. A metrpole reconhecida pela produo cientficotecnolgica e isso representa muito por aqui; os privenses tm orgulho de afirmar que foi essa
capacidade de gerar conhecimento aplicado que ajudou a cidade a se reerguer to depressa,
enquanto as cidades menos favorecidas ainda se lamentam na penria."
"Quem chega por aqui nem nota que h pouco tempo tudo no passava de runas, como
uma selva de cimento - slida e cinzenta - destruda. A praa central agora est to linda quanto
sempre fora; a catedral pode ser vista desde o prtico de entrada da cidade, elegante e imponente
com suas paredes de pedra e vitrais coloridos com imagens angelicais. As ruas esto de volta
organizao habitual. Prdios, lojas, escolas, hospitais, tudo foi projetado, construdo do nada
que restara, para comportar tecnologia, conforto e funcionalidade."
"No de se espantar que aqui at mesmo os postes esto online 24/7."
"Ningum mais ousa perguntar o porqu de tanto investimento em infraestrutura de
tecnlogia. Desde que a populao comeou a vivenciar os benefcios da conectividade, tudo ficou
menos burocrtico e mais cmodo. Ningum aqui precisa perder tempo com papis e presena
fsica em lugar algum. Grande parte dos servios so digitais e muito bem integrados. Voc, por
exemplo, no ousaria sair de casa e passar pela Condessa de S, avenida principal da cidade, em
pleno dia de chuva sem uma pesquisa online sobre como andam as coisas por l, se o trfego
est liberado, se um dia daqueles que os carros esto proibidos e os metrs funcionam em
esquema especial para atender a populao, visandodiminuir a pegada de carbono da cidade ou
se o trfego foi redirecionado por causa de algum acidente."
"Mas, tudo tem seu preo."
"Talvez no a praa, a catedral ou o prtico, nisso tudo a cidade nem parece que passou
B.1. ENREDO
129
Figura B.4: Formulrio de Dados de Localizao (Fictcios)
pelo que passou. Mas o povo, este permanece assustado e temeroso. Ningum mais se sentia
seguro e isso refletiu nas aes do governo em burocratizar a entrada de estrangeiros no pas.
Como consequncia, mais do que antes, privacidade por aqui troca-se por segurana, conforto e
comodidade."
"Em Privus, nada to particular. Sua cordialidade, somada sua rotina e toda a sorte
de monitoramento a que voc est exposto podem dizer muito sobre voc. Como um bom
forasteiro voc deve estar se perguntando: "Muito, o quanto?". Bom, que tal se eu te disser que
o prefeito Garcia Costa - mesmo sendo to presente e dedicado famlia - descobriu, atravs
do Goucipi News que a prpria filha estava grvida, graas combinao de termos de buscas
que ela utilizou em seu computador pessoal, frequncia com ela ia ao banheiro no colgio e
algumas alteraes hormonais identificadas na rotineira higiene matinal, graas ao Health Mirror
- construdo com tecnologia e conhecimento locais, a propsito - que faz um checkup nos sinais
vitais e alguns outros testes bsicos de alteraes corporais. Acho que d pra ter noo do que
digo, no?"
"Bom, esse foi um... Ops! (Exibir notificao: Notificao do Privus Master Location:
Sr. Guia Novos histricos de localizao esto disponveis para anlise!) Acho que esse barulho
meu Citizen Monitor... E veja, acabo de receber aqui o histrico de localizao dos habitantes...
E olha quem est logo aqui... voc! Legal, no? Todas as autoridades tm acesso a
um desses, que para ajudar no caso de avaliarmos como est o fluxo pela cidade e agirmos em
caso de alguma anormalidade."
"Por aqui tambm temos o Privus Citizen... um aplicativo muito interessante para
qualquer pessoa que esteja por aqui. Por ele voc tem acesso ao Fakebook, uma rede social para
B.1. ENREDO
130
Figura B.5: Formulrio de Dados Mdicos (Fictcios)
voc estar em contato constante com seus amigos e tudo o mais sobre eles, e o Twistter, um
microblog que voc fica por dento de diversos assuntos do seu interesse. So bem legais, quando
puder, instale. Acho que voc vai gostar."
"Voltando ao que estava dizendo, nada to privado por aqui. s vezes penso que isso
bom, por que nos permite experimentar servios mais personalizados e mais especficos para
nossas necessidades; at os servios pblicos tm melhorado bastante. No entanto perdemos
controle sobre o que sabem de ns... Bom, mas esse j assunto para outra hora."
"Enfim, voc est liberado para ir. Espero que tenha uma tima estadia por aqui"
"Ah! E j ia me esquecendo! Antes de mais nada, certifique-se de sempre levar seu
dispositivo mvel com voc, seu smartphone ou tablet; caso seja necessrio contat-lo ou voc
queria usar algum servio, ele ser essencial."
O que voc deseja fazer agora?
Opo 1: Fazer um tour pela cidade - Vai para o Passo 4a
Opo 2: Ir para casa - Vai para o Passo 4b
Opo 3: Quero me encontrar com meus amigos - Vai para o Passo 4c
B.1.7
(Passo 4a)
Um tour pela cidade? Excelente escolha!
B.1. ENREDO
131
Figura B.6: Formulrio de Dados de Relacionamento
Bom, voc um novato por aqui, ento imagina-se que voc queira explorar at se perder
de vista. Por precauo, recomendvel que voc habilite o servio de localizao pois, caso
voc se perca, ser mais fcil para se encontrar ou mesmo para pedir ajuda.
Alm do servio de localizao, acho que voc ainda no tem Fakebook. Quando as
pessoas chegam por aqui sempre gostam de tirar fotos e compartilhar, conversar com seus amigos,
ou mesmo fazer check-in nos lugares que acham mais interessante.
Oferecer Servios Gugou Maps e Fakebook, ver Seo B.2 para detalhes.
Pronto? Ento vamos comear nosso tour!
Bom, aqui ns estamos na entrada principal da cidade.
Aqui nossa esquerda fica banca do Sr. Pedro. Um senhor muito distinto que tem sempre
muitas histrias da grande Guerra para contar. Bom dia Seu Pedro!
Neste prdio est instalado o Centro de Comando Policial de Privus. Aqui tambm fica o
Centro de Monitoramento e Informao, de onde saem as decises estratgicas para situaes de
risco, investigao de crimes, anlises populacional para quaisquer interesses. Ns brincamos
aqui que, se voc no sabe alguma coisa sobre voc mesmo, aqui que voc deve vir; eles com
B.1. ENREDO
132
certeza sabero...
Vamos andando. O Corpo de Bombeiros se instalou neste prdio tem pouco tempo. Ficou
bem localizado at...
Aqui tambm fica a maior academia da cidade. Sempre que passa por aqui, nesta
academia que o Presidente gosta de queimar suas calorias presidenciais. Ah! E veja, esse tipo de
promoo "Faa check-in, ganhe desconto" bem comum por aqui.. s vezes me pergunto o
que eles ganham com isso. Eu, particularmente, fao quantos check-ins forem necessrio para
ganhar um desconto.
Este o Hospital Saint Joseph. Temos muito orgulho deste hospital. Alm das inmeras
especialidades, eles usam um sistema no qual os mdicos tm acesso a um conjunto de informaes consolidadas sobre os pacientes vindo das mais diferentes fontes possveis. interessante
por que o diagnstico muito preciso e os tratamento so especficos. Estando aqui voc estar
em boas mos.
Este prdio moderno e imponente aqui a Casa do Governo de Privus; nome sofisticado
para um lugar mais conhecido como prefeitura.
Al fica a Electric Privus, concessionria de energia eltrica local, na verdade s a
parte administrativa est instalada ali. Eles esto implantando um sistema interessante de
monitoramento de energia eltrica inteligente para residncias que, de acordo com eles, vai
ajudar os cidados a economizar energia.
Este meu ponto preferido da cidade... A Praa Central. Eu passo por aqui sempre que
posso. Este ambiente de natureza que podemos presenciar aqui faz muito bem. Diferente da
paisagem urbana a que estamos acostumados.
Depois da reconstruo Privus ficou bem melhor quanto a essa coisa de natureza, mas
ainda tem muito a melhorar. Depois que as ruas foram pavimentadas, o escoamento da gua da
chuva ficou bem prejudicado.
Aqui fica uma das maiores hamburguerias de Privus, o BurgerQueen. No sei se voc
uma daquelas pessoas de hbitos alimentares radicais, mas para todo caso, vale a pena
experimentar...
Este aqui o nosso museu. Acho que em alguns minutos ele estar aberto para visitao.
Se quiser saber com mais detalhes por tudo que nossa cidade j passou, por aqui que voc deve
comear.
Aqui fica nossa tradicional padaria. Parada obrigatria de qualquer cidado privense que
se preze.
Nosso Shopping, Maximus... Tem timas salas de cinema e tambm muitos restaurantes
de comidas exticas.
Aqui o hipermercado Carrefive; tem um aqui e outro quase na sada da cidade.
Esse aqui o clube esportivo da cidade. Todas as atividades aqui so gratuitas. No sei
se voc gosta de praticar esportes, mas se gosta, esse o lugar!
Opa! Tem algo errado por aqui... Eu no passo por aqui com frequncia, mas ali naquela
B.1. ENREDO
133
esquina costumava ser o Vikings Bar. E logo esquerda deveria ter um... Ah no! Acho que
estamos perdidos. Me empolguei demais na conversa e no reparei o caminho que fizemos.
Como vamos voltar? Alguma ideia?
Opo 1: (Condio: Instalou Gugou Maps) Vamos usar o mapa - Vai para o Passo 5a
Opo 2: Deixa comigo, eu sei o caminho - Vai para o Passo 5b
Opo 3: (Condio: Instalou Fakebook) Quero pedir ajudar - Vai para o Passo 5c
B.1.8
(Passo 4b)
Imagino que a viagem tenha sido cansativa. Ok, voc est liberado.
Antes de partir, gostaria de sugerir que voc instalasse o servio de localizao no seu
smartphone ou tablet, para que fique mais fcil se localizar na cidade, ou mesmo te ajudar a ir
para sua casa agora.
Oferecer Servio Gugou Maps, ver Seo B.2 para detalhes.
Opo 1: Seguir para casa - Vai para o Passo 5d
B.1.9
(Passo 4c)
Voc decide se encontrar com seus amigos. Como recm chegado na cidade voc
decide usar alguma rede social para ver se encontra alguns dos seus amigos, que vierem muito
antes de voc, para que possam se encontrar e sair para se divertir. Alm disso, voc precisa
saber o que tem para se fazer por aqui... restaurantes, bares, parques, academias, supermercados
e tudo o mais que, vez ou outra, voc venha a precisar. Tem o bom e velho jeito tradicional,
do sculo passado, que andar e andar e andar procurando o que voc precisa, e tem a forma
moderna: usar alguma rede social.
Aqui em Privus, voc tem duas opes muito interessantes de redes sociais: o Fakebook,
no qual voc pode estar em contato com seus amigos, artistas, grupos e tudo o mais, compartilhando fotos, textos, vdeos, e tambm pode encontrar o que a cidade oferece em termos de
servios, como restaurantes, mercados, oficinas mecnicas, bares, sempre destacando as opes
indicadas pelos seus amigos
Outra opo interessante de rede social que temos aqui, o Twistter. O Twistter um
microblog, onde voc pode ficar por dentro de notcias, opinies e discusses sobre assuntos
do seu interesse e tambm pode divulgar e compartilhar suas opinies e contedos que ache
interessante. Mas tudo isso pode ser feito com no mximo 100 caracteres.
Oferecer Servios Fakebook e Twistter, ver Seo B.2 para detalhes.
Opo 1: Continuar - Vai para o Passo 5e
B.1. ENREDO
B.1.10
134
(Passo 5a)
Ufa... Ainda bem que voc tinha habilitado o servio de localizao, o Gugou Maps.
Agora, basta irmos olhando onde estamos e onde queremos chegar, no mapa, e compor
nosso trajeto escolhendo uma das ruas oferecidas como opo.
Iniciar subrotina Navegao, ver Seo B.3 para detalhes.
Opo 1: (Condio: Chegou no destino) Passo 7a
B.1.11
(Passo 5b)
Aparentemente voc decidiu que ns saberamos nos virar sozinhos... Agora por nossa
conta e risco...
Estamos perdidos, no temos o auxlio do servio de localizao disponibilizado na
cidade e no temos a quem pedir ajuda...
A partir de agora, sero apresentadas para voc, em cada esquina, as opes disponveis
para seguir o trajeto de volta entrada da cidade, lugar de onde viemos, vamos andar de acordo
com suas escolhas.
B.1.12
(Passo 5c)
Ajuda.. ajuda.. Deixe-me lembrar...

Sim! Podemos entrar no seu Fakebook e ver se algum dos seus amigos habilitou o servio
de localizao e tem acesso ao mapa para nos ajudar.
Se voc adicionou algum amigo ao seu perfil (ainda no adicionou?? Faa isso agora
clicando aqui). Basta clicar, aqui ao lado esquerdo, no item "Fakebook", e pedir as coordenadas
para chegar ao seu destino!
B.1.13
(Passo 5d)
Voc parte da entrada da cidade rumo ao novo lugar que voc vai chamar de sua casa
(que voc conseguiu com alguns contatos antes de chegar por aqui), carregando um guia turstico
que lhe foi entregue assim que foi autorizado a entrar na cidade.
Voc vira esquerda, onde v uma banca - do Sr. Pedro - como diz a fachada. Pelo
que parece, o Senhor Pedro deve ser homem simptico logo na porta conversando com alguns
clientes.
B.1. ENREDO
135
Logo em frente voc v o Hospital Saint Joseph. De acordo com o guia, os privenses tm
muito orgulho deste hospital. Alm das inmeras especialidades, eles usam um sistema no qual
os mdicos tm acesso a um conjunto de informaes consolidadas sobre os pacientes vindo das
mais diferentes fontes possveis. O diagnstico muito preciso e os tratamento so especficos.
Voc avista o prdio onde est instalado o Centro de Comando Policial de Privus. Aqui
tambm fica o Centro de Monitoramento e Informao, de onde saem as decises estratgicas
para situaes de risco, investigao de crimes, anlises populacional para quaisquer interesses.
Uma brincadeira no guia diz que, se voc no sabe alguma coisa sobre voc, aqui que voc vir;
eles com certeza sabero...
Logo a frente voc v o prdio do Corpo de Bombeiros. Ficou bem localizado at...
Seguindo pela calada voc identifica o Colgio Ron Rivest. Pelo que se l, os grandes
engenheiros e cientistas que produzem a tecnologia local estudaram aqui.
(Exibir notificao se usurio instalou o Gugou Maps: Notificao do Gugou: O Museu
de Privus estar aberto em 5 minutos! No seria uma boa ideia passar e descobrir um pouco
mais sobre nossa histria?) Voc chega ento ao museu. De acordo com a placa informativa na
frente, em alguns minutos ele estar aberto para visitao.
(Exibir notificao se usurio instalou o Gugou Maps: Notificao do Gugou: Est
com fome? Que tal um hamburger? Passe no Burger Queen) Passando em frente a um bistr,
bem movimentado, voc avista uma das maiores hamburguerias de Privus (de acordo com o
guia), o BurgerQueen. No sei se voc uma daquelas pessoas de hbitos alimentares radicais,
mas para todo caso, vale a pena experimentar...
Voc chega na Praa Central, um ambiente cheio de rvores, um gramado muito bem
cuidado, muito bancos sombra, uma fonte bem ao centro e um pequeno lado, ao fundo, por onde
passa um pontezinha. Este ambiente de natureza que se pode presenciar aqui bem diferente da
paisagem urbana a que voc est acostumados.
(Exibir notificao: Seja bem vindo(a) a Privus <nome do participante>! Estamos a
disposio para ajud-lo no que for necessrio para o exerccio de sua cidadania por aqui.) Este
prdio moderno e imponente logo adiante a Casa do Governo de Privus; nome sofisticado para
um lugar mais conhecido como prefeitura.
Depois voc v o hipermercado Carrefive (nome esquisito que no lhe estranho...); de
acordo com o guia, tem um aqui e outro quase na sada da cidade.
Voc ento decide entrar e comprar alguma comida para levar para a casa.
Voc dirige-se ao balco de recepo e pega um tablet para te auxiliar na compra.
de fato muito prtico... Voc pode ver o mapa de prateleiras e produtos, pode fazer sua lista
de compras e, conforme adiciona produtos o total j exibido automaticamente, mesmo sem
nenhuma contrapartida sua.
(Exibir notificao: Seja bem vindo(a) ao Carrefive! Nosso hipermercado disponibiliza
tablets para te auxiliar nas comprar. Pegue o seu em um dos balces de recepo! (Devolva ao
sair da loja)) Finalmente voc pega os mantimentos que deseja e procura o caixa. Depois de
B.1. ENREDO
136
um tempo, voc percebe que no tem nenhum caixa ali e pergunta funcionria da recepo
como funciona o pagamento. Ela ento te informa que basta informar o nmero do seu carto de
crdito na aplicao e o pagamento efetuado assim que voc deixar o supermercado.
Voc informa os dados necessrios para efetuar o pagamento e sai.
De volta ao seu caminho , logo em frente fica a Electric Privus, concessionria de energia
eltrica local. O guia que voc trs em mos informa que eles esto implantando um sistema
interessante de monitoramento de energia eltrica inteligente para residncias que, de acordo
com eles, vai ajudar os cidados a economizar energia.
O guia lhe mostra o Shopping Maximus... A descrio diz que tem timas salas de
cinema e tambm muitos restaurantes de comidas exticas.
Aqui ao lado tem uma Casa Lotrica, onde se pode pagar contas, fazer apostas e outros
servios similares e, logo ao lado, fica a tradicional padaria privense. Parada obrigatria de
qualquer cidado privense que se preze.
Finalmente, voc chegou em sua casa nova casa.
Opo 1: Seguir - Vai para o Passo 6b
B.1.14
(Passo 5e)
Considerando sua vida l do pas de onde voc veio, voc j est cansado de andar a p.
Sem contar que ia te dar uma boa moral encontrar-se com seus amigos em um carro zerinho.
Levando em conta suas finanas, voc decide que pode comprar um carro. Alm do mais,
voc viu na previso do tempo que uma frente fria est se aproximando de Privus e, com ela,
vem as chuvas. Francamente, voc no vai querer ficar preso em casa, em um cidade cheia de
coisas novas para voc conhecer, vai?
Voc ento vai at a concessionria Auto Privus. Chegando l, voc d uma volta pelo
ptio para avaliar as possibilidades e aguarda at que o vendedor atenda uma senhora opulenta
que j estava l.
Quando chega sua vez de ser atendido, o vendedor bastante simptico e te mostra as
diversas opes entre utilitrios, esportivos, famlia etc. Voc se interessa por um modelo que
estava prximo porta de entrada; para sua sorte, como tudo muito prtico aqui em Privus, o
vendedor te informa da disponibilidade imediata desse modelo em estoque, o que pode reduzir o
seu tempo de esperar em sair por a andando com seu novo carro.
Mas, nem tudo so flores, chega a hora de falar da parte ruim (ou boa, vai depender das
suas possibilidades financeiras): o pagamento. vista, o carro custa <90% do valor em dinheiro
que o participante possui no score>, mas o vendedor te informa que eles esto fazendo uma
pesquisa a fim de melhorar o atendimento, a experincia de compra e projetar novos automveis
mais adequados s diferentes necessidades dos clientes. Desta pesquisa, sero gerados novos
conceitos de veculos que, quando lanados, quem participou da pesquisa garante um desconto
de 40% na aquisio do novo modelo!
B.1. ENREDO
137
Pois bem. Os clientes que quiserem participar hoje, ganham magnficos 15% de desconto
(e o novo valor do automvel que voc quer comprar passa a ser <76,5% do valor em dinheiro que
o participante possui no score>) e, para participar, basta que voc fornea algumas informaes
financeiras, como o extrato bancrio dos ltimos 6 meses, seu nome, documento de identificao,
renda mensal e o preenchimento de um questionrio socioeconmico.
Voc decide...
Opo 1: Comprar o carro e participar da pesquisa - Vai para o Passo 6c
Opo 2: Comprar o carro sem participar da pesquisa - Vai para o Passo 6d
Opo 3: Continuar andando a p - Vai para o Passo 6e
B.1.15
(Passo 6b)
"Pronto, chegamos em sua nova casa!". Diz o guia. "Aqui est a chave. Espero que tenha
uma tima estadia aqui em nossa cidade".
Voc acena. A exausto j tomou conta h alguns minutos. Voc mal pode esperar para
descansar.
Opo 1: Abrir a porta - Vai para o Passo 7c
B.1.16
(Passo 6c)
Seus dados financeiros esto sendo recuperados para serem fornecidos para a concessionria.
Enquanto isso, responda o questionrio abaixo para garantir seu direito ao desconto de
15% no valor do automvel.
(Exibir formulrio extenso de perguntas de perfil socioeconmico).
Opo 1: Concluir a compra do meu carro - Vai para o Passo 7d
B.1.17
(Passo 6d)
Voc optou por uma compra menos invasiva (apesar de mais cara) e decidiu no participar
da pesquisa.
Apenas seus dados pessoais foram fornecidos, como de costume para qualquer compra.
Opo 1: Concluir a compra do meu carro - Vai para o Passo 7d
B.1. ENREDO
B.1.18
138
(Passo 6e)
Voc optou por no comprar o carro. Sabe l quais so seus motivos...

Voc liga para seus amigos e vocs decidem que vo ao Burger Queen. Como voc
novo na cidade, pediu que um deles lhe desse carona.
O(A) <nome de um(a) amigo(a)> vai passar aqui para te pegar em alguns minutos.
Enquanto eles no chegam voc senta-se em um dos bancos da calada que tem logo na esquina
da rua da concessionria.
Voc repara que a movimentao por aqui bem grande. Muitas pessoas fazendo
caminhada, outras correndos, alguns pais brincando com seus filhos, alguns casais passeando
com seus ces.. Tem at um casal de velhinhos fazendo sua caminhada... Em sua direo, mas a
frente fica a beira do lago. A paisagem faz voc se perder em pensamentos por alguns instantes...
Voc se pergunta se possvel ser sedentrio por aqui, ou mesmo se existe alguma
estatstica que mostre o impacto desses hbitos na qualidade de vida das pessoas.
Ops! Falando em pessoas, sua carona acabou de chegar...
Opo 1: Burguer Queen da galera, a vamos ns! - Vai para o Passo 8c
B.1.19
(Passo 7a)
"Finalmente chegamos de volta entrada da cidade".

"Bom, agora acredito que voc deva estar um tanto cansado pela viagem e pela caminhada.
Aguarde um instante que vou lev-lo at a sua nova casa".
Opo 1: Ir para casa - Vai para o Passo 6b
B.1.20
(Passo 7b)
Infelizmente seu tempo hbil para encontrar seu destino acabou.

Voc foi encontrado em estado de choque pelos seus amigos dias depois. Sem casa,
banho ou comida, seu estado era deplorvel.
Por sorte agora voc est bem e aos pouco se recupera do trauma de ter se perdido em
uma cidade na qual voc tinha acabado de chegar, porm, sua experincia em Privus acabou.
(Fim da histria)
B.1.21
(Passo 7c)
Lar, doce lar...

Opa! Voc quase escorrega por causa de um envelope que tinha logo prximo da porta.
Voc pega o envelope e para sua surpresa da empresa de distribuio de energia eltrica, Electric
Privus.
B.1. ENREDO
139
Com muito cuidado voc abre o envelope e verifica que uma conta de energia, no valor
de 150,00. Provavelmente deve referir-se ao consumo do ltimo inquilino. Voc j estava ciente
de que isso poderia ocorrer e que, baseado nas leis locais, voc sabe que o responsvel por esta
dvida. Isso no ser o problema, j que voc ainda tem <valor em dinheiro que o participante
possui no score> disponvel em sua conta bancria aqui em Privus.
Sendo assim, o que voc deseja fazer?
Opo 1: Pagar a conta agora mesmo - Vai para o Passo 8a
Opo 2: Depois eu vejo o que eu fao - Vai para o Passo 8b
B.1.22
(Passo 7d)
Voc liga para seus amigos e vocs decidem que vo ao Burger Queen.
Esta ser sua primeira oportunidade de estrear sua mais nova aquisio: seu carro. Como
alguns de seus amigos no tm carro, voc ofereceu carona a alguns deles e resolve sair mais
cedo para peg-los antes de ir para a hamburgueria.
Voc entra no seu carro, senta-se confortavelmente em seu banco de motorista, inspira e
expira, vagarosamente... o cheiro inebriante de carro novo ainda est por aqui.
Voc d a partida, conecta seu dispositivo mvel ao som automotivo via bluetooth,
escolhe sua playlist preferida e segue para encontrar seus amigos.
Opo 1: Burguer Queen da galera, a vamos ns! - Vai para o Passo 8c
B.1.23
(Passo 8a)
As autoridades locais apreciam cidados responsveis...

Voc tem a disposio duas formas de pagamento. Qual delas voc escolhe?
Opo 1: Carto - Vai para o Passo 9a
Opo 2: Dinheiro - Vai para o Passo 9b
B.1.24
(Passo 8b)
(Exibir notificao: Notificao da Electric Privus: A energia eltrica de sua residncia

ser interrompida em 5 dias!) Inadimplentes por aqui ganham m fama muito facilmente. O
cadastro de maus pagadores compartilhado entre as empresas e pode impactar em qualquer
interao de compra e venda futura.
Por sorte, voc ainda tem 5 dias para efetuar o pagamento.
B.1. ENREDO
B.1.25
140
(Passo 8c)
Vocs chegam ao Burger Queen e vem que est bem cheio. Tem at uma pequena fila
de espera. Como vocs esto botando o papo em dia, decidem aguardam enquanto conversam.
a que um de vocs se depara com um grande cartaz que anuncia a seguinte promoo:
"Faa um check-in no Fakebook, com uma foto aqui no BurguerQueen e ganhe um desconto de
4!".
Voc est na dvida se compra a opo na promoo ou se escolhe um combo mais
completo, com refrigerante e fritas.
Finalmente chega a vez de vocs serem atendidos, voc chega ao balco e o atendente
pede que voc faa seu pedido:
(Exibir formulrio de pedido do Burger Queen).
A atendente ento pergunta se voc vai fazer o check-in. Oferecer Servio de check-in,
ver Seo B.2 para detalhes.
hora de fazer o pagamento. Sua conta totaliza <total do pedido>. Qual vai ser a forma
de pagamento?
Opo 1: Carto - Vai para o Passo 9c
Opo 2: Dinheiro - Vai para o Passo 9d
B.1.26
(Passo 9a)
Voc decidiu pagar sua conta de energia eltrica usando carto. Esta mesmo uma forma
cmoda e segura para fazer pagamentos.
Por questes de facilidade, isso ser feito atravs do site de servios do governo local.
Ver Figura B.7;
B.1.27
(Passo 9b)
Ok. Para efetuar o pagamento em dinheiro voce precisa se dirigir a alguma estabelecimento mais prximo.
Como voc novo na cidade recomenda-se sempre o uso do Gugou Maps pois, caso
voc se perca, ser mais fcil para se encontrar ou mesmo pedir ajuda.
Os estabelecimentos onde voc pode efetuar o pagamento de sua conta estaro escritos a
seguir.
Opo 1: Vamos busca! - Vai para o Passo 10b
B.1. ENREDO
141
Figura B.7: Formulrio de Servio eGov
B.1.28
(Passo 9c)
Pagamento efetuado com sucesso!

"Muito obrigado, tenha uma tima refeio"
(Exibir notificao se o usurio instalou o Fakebook: Notificao do Fakebook: <Nome
de um amigo> curtiu seu check-in no Burger Queen!)
Voc est dando muitas risadas com seus amigos. O ambiente est bem agradvel, a
msica ambiente est bem envolvente e voc acaba esquecendo do mundo l fora. J fazia tempo
que voc no comia um bom hambrguer desses... Desde que o lado sul do mar Prestos entrou
em guerra, sua cidade ficou sem fornecimento de servio externos. O governo no tinha muito o
que fazer quanto a isso. A dependncia da importao de alimentos de pases um tanto distantes,
fazia com que, uma vez iniciada a guerra, o transporte desses alimentos teriam que cruzar terras
inimigas, impedindo que chegassem at seu pas. Tudo o que o povo podia fazer era viver do que
plantava. Nada mais.
Neste momento voc trazido de volta sua realidade pelo som de notificao do
seu smartphone. A defesa civil de Privus avisa de uma chuva torrencial que se aproxima da
cidade e alerta para a possibilidade de evacuao de algumas reas, graas instalao de
sensores de monitoramento das condies climticas; eles tambm pedem para que a populao
contribua com reports do que est acontecendo na diversas partes da cidade, criando uma rede de
compartilhamento de informaes sobre as condies da cidade.
Voc ento se d conta que o cu est escuro l fora e alguns relmpagos j comeam
B.1. ENREDO
142
atravessar o cu.
(Se o participante comprou o carro)
Como voc no sabe muito bem como so as coisas por aqui nessas situaes, voc se
despede de seus amigos, oferece carona, caso algum deles necessite (eles gentilmente recusam,
vo ficar para mais um rodada), e parte dali.
(Se o participante no comprou o carro)
Como voc no sabe muito bem como so as coisas por aqui nessas situaes, voc fica
receoso de sair para pegar um nibus, taxi ou metr. Voc pede carona a um de seus amigos, um
deles diz que pode te levar para casa. O nico problema que ele bebeu mais do que devia e os
outros o convencem de que seria melhor deixar voc dirigir. Vocs ento partem dali.
(Fim - Se o participante comprou o carro)
O temporal comea. Uma verdadeira chuva torrencial. Voc percebe que os motoristas
esto meio tensos no volantes, o que te deixa com um pressentimento nada bom.
(Se o participante instalou o Twistter)
Sua meta j era chegar na sua casa antes que o tempo piorasse. Agora, a urgncia s se
intensifica.
(Se o participante instalou o Fakebook)
Para sua sorte, o mapa vai te ajudar com as ruas. Porm, apesar de existirem vrios caminhos possveis para voc chegar at sua casa, alguns deles apresentam alagamento, impedindo a
passagem de veculos, e outras vias apresentam pontos de lentido, o que vai fazer com que voc
demore um pouco mais, correndo o risco de a situao piorar.
Para ajud-lo, o servio de localizao conta com sua contrapartida: voc pode enviar
um twistter com sua localizao e um report da condio da via em que voc est e, em troca,
recebe o status de alguma via que voc deve evitar, ou porque est alagada (caso em que voc
ficar fatalmente ilhado), ou porque est com trnsito lento.
(Se o participante no instalou o Fakebook)
Para amenizar a situao, j que voc no tem o servio de localizao, sero apresentadas
para voc as opes de ruas por onde voc pode seguir no seu trajeto at sua casa. Apesar de
existirem vrios caminhos possveis, alguns deles apresentam alagamento, impedindo a passagem
de veculos, e outras vias apresentam pontos de lentido, o que vai fazer com que voc demore
um pouco mais, correndo o risco de a situao piorar.
Para ajud-lo, o Twistter conta com sua contrapartida: voc pode enviar um twistter de
texto com um report da condio da via em que voc est, em troca, recebe o status de alguma
via que voc deve evitar, ou porque est alagada (caso em que voc ficar fatalmente ilhado), ou
porque est com trnsito lento.
(Fim - Se o participante instalou o Fakebook)
(Se o participante no instalou o Twistter)
Um cidado com o Twistter em mos agora teria informaes valiosas sobre os trajetos.
Mas este no o seu caso.
B.1. ENREDO
143
O que voc vai ter a sua frente um trajeto complicado, em meio a uma tempestade
difcil, com alguns desafio a sua frente, que voc ter de resolver sozinho. Apesar de existirem
vrios caminhos possveis para voc chegar at sua casa, alguns deles apresentam alagamento,
impedindo a passagem de veculos, e outras vias apresentam pontos de lentido, o que vai fazer
com que voc demore um pouco mais, correndo o risco de a situao piorar.
(Se o participante instalou o Gugou Maps)
Baseando-se no mapa, pense nos trajetos possveis e conte com sua sorte.
(Se o participante no instalou o Gugou Maps)
Para seu azar, voc no tem Twistter, nem o servio de localizao... Isso significa que
agora hora de deixar teu instinto te guiar. Voc ter apenas as opes de quais vias voc pode
escolher em determinado momento.
(Fim - Se o participante instalou o Gugou Maps)
(Fim - Se o participante instalou o Twistter)
Voc deve atentar para as seguintes instrues:
Se a via que voc escolher estiver alagada, voc ficar fatalmente ilhado;
Em caso de trnsito, seu deslocamento ter a velocidade reduzida proporcionalmente;
O ideal que voc chegue so, salvo e, eventualmente, seco na sua casa :).
Vamos nessa?
Iniciar subrotina Navegao com Chuva, ver Seo B.3 para detalhes.
Opo 1: (Condio: Chegou na casa) Passo 11b
Opo 2: (Condio: Esgotou o nmero de tentativas) Passo 11c
Opo 3: (Condio: Entrou em rua alagada) Passo 11d
B.1.29
(Passo 9d)
Idem ao Passo 9c.
B.1.30
(Passo 10a)
Voc acabou de efetuar o pagamento da sua conta de energia!

Pela pontualidade no pagamento, as autoridades te oferecem 5% de desconto na prxima
conta de energia.
Falando nisso, ao retornar para casa, voc percebe que havia um folheto da distribuidora
de energia, a Electric Privus, cado no jardim de entrada da sua casa, falando sobre o uso recente
do medidor de consumo de energia inteligente, que coleta o consumo de energia eltrica de
cada equipamento dentro da residncia e, alm de permitir a gerao da conta no final do ms,
B.1. ENREDO
144
tambm deixa voc por dentro do consumo de cada equipamento, para que voc saiba tim-tim
por tim-tim o que cada equipamento domstico est consumindo.
Oferecer Servio Smart Meter, ver Seo B.2 para detalhes.
B.1.31
(Passo 11a)
Agora, no conforto da sua casa, voc liga a TV e acaba zapeando at um canal de sade,
o Privus Health, onde esto discutindo os malefcios de uma vida sedentria.
"A falta de exerccio est causando tantas mortes em todo o mundo como o tabagismo,
de acordo com pesquisas realizadas recentemente, pela Universidade Federal Secreta, a UFS.
Mas, enquanto algumas centenas de atletas estiveram empurrando seus corpos ao limite,
a maior parte do mundo esteve assistindo na TV, sentado inativo por horas a fio.
Os cientistas dizem que no so eles, nem a Copa, que esto defendendo sesses excruciantes de ginstica. Como Pamela Moras, da UFS coloca: "E no se trata de correr em uma
esteira, enquanto olha para um espelho e ouve o seu iPod."
No h nada de errado em ir para a academia, claro, mas o objetivo incentivar que
todos construam hbito de incluir atividades fsicas em suas vidas dirias, como deslocar-se a p,
andar de bicicleta, nadar ou fazer qualquer esporte que gostem.
O problema que todos estamos acostumados com esses conceitos. Todos sabemos que
deveramos nos mover mais e passar menos tempo sentados. Ainda assim, 1 em cada 3 adultos
no mundo inteiro no consegue fazer o recomendado: 150 minutos de atividade fsica aerbica
moderada por semana.
Ento ao invs de enfatizar os benefcios sade, provocados pelos exerccios, os
pesquisadores UFS optaram por mostrar os danos causados pela inatividade. Eles estimam que a
falta de exerccio responsvel por cerca de 5.3 milhes de mortes por ano - quase o mesmo
nmero causado pelo tabagismo..."
Voc zapeia para alguns outros canais... clipes musicais, uma novela mexicana com seus
personagens clssicos, um canal de notcias do qual voc muda rapidamente por que percebe que
esto falando das guerras no alm-Mar Prestos.. Voc acaba voltando ao Privus Health.
(Exibir notificao: Preocupado com sua sade? Faa mais por voc mesmo, utilize
o Health Monitor o mais indicado Privus Health. Saber mais. . . . Oferecer Servio Health
Monitor, ver Seo B.2 para detalhes.)
Voc acaba de se sentar no sof da sua sala para descansar da longa caminhada. O
corao est um pouco mais acelerado do que devia. Percebe que a boca est um tanto seca,
levanta-se, pega um copo de gua e volta a sentar-se. Voc sente um pouco de tontura, mas
entende que tudo est normal e que no h nada com o que se preocupar. Agora que voc est
em uma nova cidade, pode se programar para uma nova rotina que inclua atividades fsicas e um
alimentao balanceada, coisas que j no faz h um bom tempo.
B.1. ENREDO
145
B.1.32
(Passo 11b)
Parabns... Voc acabou de estacionar seu carro na garagem. Por sorte, tudo est bem
por aqui. Voc tranca o carro, ativa o alarme e vai para dentro de casa.
Est exausto, hoje foi um dia bem cheio. Agora hora de tomar um bom banho, vestir
aquele moletom bem confortvel, relaxar e, quem sabe, viver feliz para sempre.
(Fim da histria)
B.1.33
(Passo 11c)
Seu combustvel acabou.

Por pura infelicidade, o cu est desabando por aqui. Voc poderia at tentar chamar
ateno de algum para pedir ajuda, mas entende que isso beira o impossvel. Seria mais fcil
nadar at sua casa, se voc me permite a piada.
No h o que fazer. Incline seu banco e tente tirar um cochilo, porque daqui voc no vai
sair at que esta chuva pare.
Isso se ela parar...
(Fim da histria)
B.1.34
(Passo 11d)
Ops, rua alagada... No! No tente acelerar e sair daqui, meu(inha) caro(a)... Isso aqui
um carro, no uma lancha.
essa altura, deve ter barro no filtro de ar, curtos circuitos esto fazendo uma festa na
parte eltrica... O caos se instaurou no seu carro. Se voc sabe nadar, a hora essa.
Devo lembrar que seu assento flutuante; no resolve, mas j ameniza a situao.
(Fim da histria)
B.1.35
(Passo 12a)
(Exibir notificao se usurio instalou o Health Monitor: Que tal incrementar o seu
Health Monitor com o servio de atendimento emergencial onde quer que voc esteja? Saber
mais.... Oferecer Servio Health Assist, ver Seo B.2 para detalhes.)
Voc comea a sentir um pouco de fome e decide ir fazer algo para comer. Depois de
preparado um sanduche, voc volta a se sentar no sof.
Enquanto isso, coloca no canal de notcias e aumenta um pouco mais o volume para que
possa ouvir...
".. Estar nas telonas hoje Tickle, uma animao feita pela Cisney, vivida por personagens
animados extremamente iguais aos humanos. A histria de suspense sobre uma mulher que
B.1. ENREDO
146
descobre ser enganada pelo marido. O fato curioso sobre o filme, que impossvel identificar
a diferena entre atores reais e as animaes. A tcnica vista como promissora e promete
revolucionar a indstria cinematogrfica criando a licena de uso do rostos dos atores, ao invs
de pagar fortunas para incorpor-los no elenco, e a possibilidade de incluir atores que no esto
mais vivos ou que j esto aposentados s produes."
"Agora, na seo internacional, fala-se que amanh o ltimo dia para circulao de
Euros em espcie para os pases da Unio Europia. Devido ao crescimento do uso de Smart
Cards, a deciso de remover cdulas e moedas do mercado foi tomada h 5 anos atrs e na
prxima sexta feira encerra-se o prazo. Estabelecido em 1999, o Euro entrou em circulao em
2002 na Unio Europia e, de agora em diante, estar disponvel apenas em museus."
"Nasceu esta manh na cidade de Djambala, Repblica do Congo, a pessoa de nmero
9000000000 no planeta. A me Ngasanya Ngollo, de 23 anos, disse que estava muito feliz com a
chegada de Titi, como ser chamada a recm nascida."
"Analistas reportaram que..."
(Exibir notificao se usurio instalou o Health Monitor: Notificao do Health Monitor: Seus sinais vitais esto irregulares!)
Alguma coisa no est certa... (Ver Figura B.8).
(Se o usurio instalou o Health Monitor)
(Se o usurio instalou o Health Assist)
Uma equipe de emergncia est a disposio para ser enviada para sua residncia.
(Fim - Se o usurio instalou o Health Assist)
(Se o usurio no instalou o Health Monitor)
Voc precisa de socorro o mais rpido possvel, o que deseja fazer?
(Fim - Se o usurio instalou o Health Monitor)
Opo 1: Confirmar equipe de emergncia - Vai para o Passo 14a
(Se o usurio no instalou o Health Assist)
Opo 1: Solicitar equipe de emergncia - Vai para o Passo 13a
Opo 2: Ligar para algum - Vai para o Passo 13b
Opo 3: Buscar socorro - Vai para o Passo 13c
Opo 1: Ops :( - Vai para o Passo 14b
B.1. ENREDO
147
Figura B.8: Imagem da tela de problema de sade
B.1.36
(Passo 13a)
Voc escolheu solicitar uma equipe de emergncia conveniada ao Monitor Health.

Para utilizar este servio necessrio pagar uma taxa de 1500,00, alm dos custos
hospitalares.
Este servio j havia sido adquirido por voc no ato da assinatura.
Opo 1: Confirmar o interesse - Vai para o Passo 14a
Opo 2: Cancelar solicitao - Vai para o Passo 14b
B.1.37
(Passo 13b)
Voc escolheu ligar para algum.

Digite o telefone
B.1. ENREDO
148
(Exibir teclado de telefone).

Opo 1: (Condio: Fez a ligao) Seguir - Passo 14a
B.1.38
(Passo 13c)
Voc escolheu buscar socorro.

Voc comeou a sentir tontura e muita dor no peito. Como estava sozinho em casa,
ningum pde prestar socorro.
Voc saiu cambaleante pela rua e tentou usar o carro do vizinho que estava estacionado
logo a frente. Sem muitas chances, voc acabou desmaiando.
No havia como algum descobrir o que estava acontecendo, j que voc era novo na
cidade e no conhecia ou era conhecido por ningum. Voc foi encontrado morto pelos vizinhos.
Horas depois descobriu-se que voc teve um infarto, agravado pelo diabetes, colesterol e pela
vida sede
(Fim da histria)
B.1.39
(Passo 14a)
"Ol... Bem vindo de volta... Por muito pouco voc no partia dessa para melhor, hein?
Graas ao Health Monitor voc pde ser socorrido a tempo. Voc se lembra quem ? Sabe me
dizer seu nome?"
(Ler nome inserido no formulrio).
(Se o nome fornecido for igual ao do perfil) Meu nome <nome inserido no formulrio>
...".
V-se que no houve grande danos sua memria. (Se o nome fornecido no for igual
ao do perfil)
No lembro meu nome..."
Fique calmo tudo est sob controle.... ainda temos alguns outros exames a serem feitos,
mas logo voc ficar bem."
(Fim - Se o nome fornecido for igual ao do perfil)
"Voc est no Hospital Saint Joseph, no centro de Privus."
"Nossa equipe recebeu uma notificao de que havia algo errado com seus sinais vitais e
uma ambulncia foi enviada para sua casa."
(Se o usurio ligou para 190)
"No desespero voc acabou ligando para a Polcia Militar."
B.1. ENREDO
149
"No desespero voc acabou ligando para o Servio Pblico de Remoo de Doentes
(ambulncia)."
"No desespero voc acabou ligando para o Corpo de Bombeiros."
"No desespero voc acabou ligando para a Polcia Federal."
"No desespero voc acabou ligando para a Polcia Civil."
(Se o usurio ligou para algum outro nmero)
"No desespero voc acabou ligando para um civil, que anotou seu telefone e ligou para a
emergncia."
(Fim - Se o usurio ligou. . . )
"Eles rastrearam seu telefone e descobriram sua localizao. Ainda bem que voc havia
habilitado o servio; foi uma sbia escolha."
"Foi difcil descobrir sua localizao. Como voc no habilitou o servio de localizao,
uma equipe tcnica teve que entrar em ao, para que ento pudessem descobrir e rastrear seu
IMEI e, finalmente, achar sua localizao."
"Quando chegaram, te encontraram cado em frente ao sof, TV ligada, parte de um
sanduche jogado ao seu lado.O atendimento foi muito rpido, ainda bem que foram notificados
em tempo."
"Voc j foi medicado e est se recuperando. Provavelmente ter que ficar mais um ou
dois dias aqui em observao, mas posso assegurar que seu quadro estvel e voc no corre
mais riscos."
(Fim da histria)
B.1.40
(Passo 14b)
Voc at que tentou buscar socorro...

Voc comeou a sentir tontura e muita dor no peito. Como estava sozinho em casa,
ningum pde prestar socorro.
Voc saiu cambaleante pela rua e tentou usar o carro do vizinho que estava estacionado
logo a frente. Sem muitas chances, voc acabou desmaiando.
No havia como algum descobrir o que estava acontecendo, j que voc era novo na
cidade e no conhecia ou era conhecido por ningum. Voc foi encontrado morto pelos vizinhos.
Horas depois descobriu-se que voc teve um infarto, agravado pelo diabetes, colesterol e pela
vida sedentria.
B.2. SERVIOS E APLICAES
150
Figura B.9: Servio de Localizao, Gugou Maps
(Fim da histria)
B.2
Servios e Aplicaes
B.2.1
Gugou Maps
Este servio d ao participante acesso ao mapa da cidade e permite que ele possa se
localizar durante as etapas de subrotina de navegao. Tambm disponibilizado um lista de
endereos na cidade que pode facilitar o deslocamento baseando em objetivo, como por exemplo,
v ao mercado, ou ainda faa o pagamento de uma conta.
Este servio acessa o perfil Dados de Localizao do participante.
B.2.2
Fakebook
Este servio permite que os participantes do Estudo de Caso possam trocar mensagens
entre si.
O propsito principal do Fakebook que, para os participantes que se recusarem a
instalar o servio de localizao, o Gugou Maps, ele seja como um recurso backup, sendo
possvel solicitar a ajuda de algum amigo que tenha acesso ao mapa durante as etapas de
subrotina de navegao.
151
Figura B.10: Aplicao de Localizao, Gugou Maps
Este servio acessa os perfis Dados Pessoais e Dados de Relacionamento do participante.
B.2.3
Twistter
Este servio permite que os participantes do Estudo de Caso possam enviar twistters.
O propsito principal do Twistter que, nas etapas de navegao com chuva, ele pode se
usado para obter informaes sobre quais ruas esto alagadas e cujo trfego deve ser evitado.
Caso o participante no tenha instalado, ele no ter essa informao de outra fonte.
152
Figura B.11: Servio Rede Social, Fakebook
B.2.4
Check-in
Este servio permite que o participante tire vrias fotos, simulando o mesmo procedimento de check-in que existem em aplicao como Facebook e Foursquare. Na histria, ele
garante direito a desconto quando participante estiver na lanchonete Burger Queen.
B.2.5
Smart Meter
Este servio faz o monitoramento (fictcio) do consumo de energia eltrica nos equipamentos domsticos.
No existe nenhum propsito especfico dentro da histria. O nico objetivo dele testar
se o usurio expe seus dados de consumo. Ao longo do decorrer da histria, o valor de consumo
dos equipamentos vai aumentando, de acordo com parmetros fixos, para transmitir a sensao
de realidade para o participante.
Este servio acessa o perfil Dados de Consumo do participante.
B.3. SUBROTINAS
153
Figura B.12: Aplicao Rede Social, Fakebook
B.2.6
Health Monitor e Health Assist
Estes servios oferecem, respectivamente, um monitor (fictcio) de sinais vitais e um

servio de atendimento emergencial onde quer que o participante supostamente esteja na cidade.
O Health Monitor permite ao participante saber com antecedncia que no est bem de
sade, criando a possibilidade de sobrevivncia na histria.
O Health Assist est vinculado compra do Health Monitor e me permite que o usurio,
uma vez que notificado que h algo errado com sua sade, possa ser socorrido pelo atendimento
emergencial, garantindo sua sobrevivncia no jogo.
Estes servios acessam o perfil Dados Mdicos do participante.
B.3
Subrotinas
B.3.1
Navegao
A subrotina de navegao ocorre em trs momentos na histria.

A primeira vez que ela aparece, o participante se perdeu durante o tour e deve retornar
para a entrada da cidade; a segunda apario, o participante que escolhe pagar sua conta de
energia com dinheiro, deve dirigir-se at algum local onde possa faz-lo; na terceira e ltima
apario, o participante deve deslocar-se do Burger Queen at sua casa. Em todas as situaes, o
funcionamento basicamente o mesmo, conforme explicado a seguir.
Como pode-se ver na Figura 6.1, mostrado na parte superior da tela onde o participante
se encontra e qual o objetivo, o destino, a ser alcanado. O mapa s exibido para os participantes
que instalaram o servio de localizao.
Na parte inferior, o usurio pode escolher entre entrar em algum estabelecimento, sendo
este o objetivo ou no, ou seguir para algum dos destinos disponveis. O trajeto s concluido
B.3. SUBROTINAS
154
Figura B.13: Servio Rede Social, Twistter
com sucesso quando o participante entra em seu destino.

B.3.1.1
Navegao com Chuva
A diferena do trajeto com chuva que o participante tem uma quantidade limitada de
tentativas para chegar at seu destino, onde cada tentativa contada quando uma nova rua ou
estabelecimento escolhido. Da a importncia do uso do Fakebook ou do Gugou Maps e do
Twistter. O nmero de tentativas representa o combustvel do automvel em que o participante
est; caso o nmero de tentativas tenha sido excedido, ele no poder continuar seu trajeto e a
histria acaba.
B.3. SUBROTINAS
155
Figura B.14: Aplicao Rede Social, Twistter
Figura B.15: Aplicao check-in
B.3. SUBROTINAS
Figura B.16: Servio de Medio de Energia Eltrica Inteligente
156
B.3. SUBROTINAS
Figura B.17: Aplicao de Medio de Energia Eltrica Inteligente
Figura B.18: Servio de Monitoramento de Estado de Sade
157
B.3. SUBROTINAS
158
Figura B.19: Servio Atendimento Emergencial
B.3. SUBROTINAS
Figura B.20: Aplicao de Monitoramento de Estado de Sade
159

Go!SIP: Um Framework de Privacidade para Cidades Inteligentes Baseado em Pessoas Como Sensores

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Go!SIP: Um Framework de Privacidade para Cidades Inteligentes Baseado em Pessoas Como Sensores

Cargado por

Copyright:

Formatos disponibles

Welington Manoel da Silva

GO!SIP: UM FRAMEWORK DE PRIVACIDADE PARA CIDADES

Universidade Federal de Pernambuco

Universidade Federal de Pernambuco

Welington Manoel da Silva

GO!SIP: UM FRAMEWORK DE PRIVACIDADE PARA CIDADES

Trabalho apresentado ao Programa de Ps-graduao em

Orientador: Prof. Dr. Vinicius Cardoso Garcia

S586g Silva, Welington Manoel da

1. Engenharia de software. 2. Privacidade. I. Garcia, Vinicius

CDD (23. ed.)

UFPE- MEI 2015-13

Visto e permitida a impresso.

Para ser grande, s inteiro: nada

Diagrama dos Nveis de Implementao de Privacidade que compe o Go!SIP .

Exemplo da tela do Go!SIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

Formulrio de Dados Pessoais . . . . . . . . . . . .

Quantidade de trabalhos retornados por biblioteca digital . . . . . . . . . . . .

Classificao do requisitos de acordo com os paradigmas PCD, PCU e PCS . .

Impacto dos Servios no score do participante . . . . . . . . . . . . . . . . . . 96

A.1 Motores e termos de busca utilizados na Questo de Pesquisa 1 . . . . . . . . . 122

Application Programming Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

European Union Data Protection Data Protection Directive 95/46 . . . . . . . . . . . 43

Global Positioning System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

ndice de Proteo Individual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Internet das Coisas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

ndice de Proteo Individual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Nvel de Proposio de Valor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

Organizao das Naes Unidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Paradigma Centrado no Dado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

Paradigma Centrado no Usurio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

Paradigma Centrado no Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

Tecnologia de Informao e Comunicao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Mecanismos de Privacidade em Smart X

A populao do planeta est gradativamente deslocando-se para reas urbanas. De acordo

de reverso da anonimizao aplicada ao dado, tirando quaisquer referncias ao indivduo a quem

Investigar mecanismos de proviso de privacidade propostos em diferentes contextos

Finalmente, como objetivo especfico, este trabalho visa, em linhas gerais:

1.3. ESCOPO NEGATIVO

O contexto de CI bastante amplo e complexo, bem como o problema da proviso de

1.4. PRINCIPAIS CONTRIBUIES

Como resultado do trabalho apresentado nesta dissertao, pode-se destacar as seguintes

Estado da arte de privacidade em domnios inteligentes: Para a construo da

Alm das contribuies citadas acima, seguem as publicaes geradas ao longo da

1.4. PRINCIPAIS CONTRIBUIES

SILVA, W. M.; ALVARO, A.; TOMAS, G. H. R. P.; AFONSO, R. A.; DIAS, K.

Os aglomerados humanos que hoje conhecemos como cidades surgiram quando os

2.1. CIDADES INTELIGENTES

de forma virtual, diminuindo a dependncia da interveno humana em processos repetitivos

2.1. CIDADES INTELIGENTES

uma entidade centralizadora, capaz de processar e gerenciar os dados provenientes de diversas

Requisitos para Cidades Inteligentes: Um Overview

2.1. CIDADES INTELIGENTES

Tabela 2.1: Mapeamento Requisitos-Trabalhos

2.1. CIDADES INTELIGENTES

2.1. CIDADES INTELIGENTES

O levantamento desses requisitos permitiu que se pudessem identificar os tpicos de

A escassez de trabalhos que abordassem o tema privacidade no survey brevemente

mais informaes http://bit.ly/1rrgZJp

no autorizado, destruio, uso, modificao e exposio no intencional ou inapropriado; e h)

O presente trabalho no trata das 3 primeiras categorias - territorial, fsica e comunicao

Neste captulo foram definidos os conceitos de CI e privacidade, teis no desenvolvimento

3.1. PESSOAS COMO SENSORES

Pessoas Como Sensores