O envelope selado e o carteiro
Imagine que envia uma carta num envelope blindado. Ninguém pode abri-lo. Ninguém pode ler o que diz. Sente-se seguro. Mas o carteiro que o transporta sabe quem o enviou, a quem se destina, quando foi enviado, de onde, e com que frequência envia cartas para esse endereço. O conteúdo está protegido. Tudo o resto não.
É exatamente o que acontece com a maioria das aplicações de mensagens que afirmam oferecer encriptação ponta a ponta. O conteúdo da mensagem pode estar encriptado. Mas o servidor que a transporta vê quem fala com quem, a que horas, com que frequência e a partir de que localização. Chama-se metadata. E a metadata conta a sua história melhor do que as suas próprias palavras.
O que o servidor vê mesmo sem ler as suas mensagens
Um servidor de mensagens, por definição, precisa de saber quem envia a mensagem e a quem se destina. Sem essa informação, não pode entregá-la. Também regista quando foi enviada e quando foi lida. E se a aplicação usa serviços de localização, pode saber de onde.
Com esses dados — sem ler uma única palavra das suas conversas — é possível saber com quem tem uma relação próxima, com que frequência fala, em que horas está ativo, se estão no mesmo lugar ou em lugares diferentes. Podem ser detetados padrões de comportamento, novas relações, relações que arrefecem, atividades invulgares. Tudo sem abrir uma única mensagem.
A pergunta incómoda
Se uma aplicação enviasse as suas mensagens como texto simples — não encriptado, completamente legível — mas o fizesse diretamente do seu dispositivo para o da outra pessoa, sem passar por nenhum servidor, seria mais privada do que uma aplicação com encriptação ponta a ponta que passa por um servidor central.
Parece contraditório. Mas pense nisso. No primeiro caso, alguém teria de intercetar a ligação direta entre os dois dispositivos para ler a mensagem — algo tecnicamente possível, mas difícil e localizado. No segundo caso, há uma empresa com um servidor a registar toda a sua metadata de forma contínua, automática, massiva e permanente. A encriptação do conteúdo é irrelevante se o padrão da sua vida já está registado.
Porque é que isto não vai mudar
As grandes plataformas de mensagens não vão eliminar os seus servidores. Não podem. O seu modelo de negócio depende de conhecer os seus padrões de comunicação. Saber com quem fala, quando e onde tem um enorme valor comercial. Essa informação alimenta algoritmos de publicidade, segmentação de utilizadores e análise comportamental. Eliminar o servidor significaria abdicar de tudo isso.
Não é uma questão técnica. É um conflito de interesses. A empresa que transporta as suas mensagens tem um incentivo económico para observar como as transporta. Por isso a encriptação do conteúdo não os incomoda de todo: o negócio nunca esteve no conteúdo. Esteve sempre na metadata.
A única solução estrutural
A única forma de ninguém ter a sua metadata é não haver ninguém no meio. A mensagem ir diretamente do seu dispositivo para o da outra pessoa. Sem servidor para a transportar, sem empresa para a observar, sem registo de quem falou com quem.
Quando não há servidor, não há metadata para recolher. Não há padrão para analisar. Não há histórico para entregar a uma ordem judicial. Não há base de dados para hackear. A privacidade não depende de uma promessa corporativa ou de uma política de privacidade que pode mudar amanhã. Depende da arquitetura. E a arquitetura não mente.