A tua aplicação de diário é mesmo privada? O que procurar

Toda a aplicação de diário diz que é privada. As páginas de marketing usam todas as mesmas palavras. Encriptação de ponta a ponta. Os teus dados são teus. Não os conseguimos ler. A maior parte delas não está propriamente a mentir, mas a forma como usam estas frases nem sempre significa aquilo que os leitores julgam que significa.

Se estás prestes a confiar a uma aplicação coisas que não dizes em mais lado nenhum, vale a pena saber o que verificar a sério. Quase tudo se faz em cerca de cinco minutos a olhar à volta.

A primeira pergunta: quem pode ler as tuas histórias?

Abre a política de privacidade da aplicação e procura a secção sobre acesso aos dados. A pergunta que estás a responder é simples. Se chegasse amanhã uma ordem judicial, conseguiria a empresa entregar as tuas histórias em formato legível?

Se a resposta for sim, a aplicação não é privada. Pode ser segura (os teus dados estão protegidos de atacantes externos), mas a própria empresa consegue ler o que escreveste. A maior parte das aplicações de diário cai nesta categoria, incluindo algumas das maiores.

Privacidade a sério significa que a empresa não pode entregar aquilo que não tem. Encriptação de ponta a ponta com as chaves guardadas apenas no teu dispositivo é a versão em que 'não conseguimos ler as tuas histórias' é mesmo verdade.

Encriptação de ponta a ponta vs. 'encriptado em trânsito'

Não são a mesma coisa, mas são constantemente confundidas no texto de marketing.

Encriptado em trânsito significa que os dados estão protegidos no caminho do teu dispositivo até ao servidor. É o mínimo absoluto que qualquer aplicação moderna deve fazer. Assim que os teus dados chegam ao servidor, normalmente ficam legíveis para a empresa. É a isto que a maior parte das afirmações sobre 'encriptação' se refere na prática.

Encriptado de ponta a ponta significa que as tuas histórias são baralhadas antes de saírem do teu dispositivo, com uma chave que só tu tens. O servidor guarda texto cifrado. A empresa não o consegue ler, mesmo que quisesse. Se uma página de privacidade é vaga sobre qual das versões pratica, parte do princípio que é a mais fraca.

O que 'os teus dados ficam no teu dispositivo' devia mesmo significar

Se a aplicação sincroniza entre dispositivos, os teus dados têm de viajar para algum lado. A questão é em que forma viajam e o que o servidor que os recebe pode fazer com eles.

Algumas aplicações guardam tudo localmente, sem qualquer sincronização. Essa é a garantia de privacidade mais forte, mas perdes o diário se perderes o telemóvel. Um modelo melhor: sincronizar, mas tudo o que sai do dispositivo é encriptado com uma chave que o servidor não tem.

A questão do modelo de negócio

Se uma aplicação de diário é gratuita e mostra anúncios, as redes de publicidade fazem parte da forma como ganha dinheiro. Isso significa, em geral, que algum tipo de dados de comportamento sai do dispositivo, mesmo que o conteúdo das histórias não saia. Registos de erros, padrões de utilização, dados sobre a hora do dia: tudo isto pode ser analisado e vendido.

As aplicações financiadas por subscrição não têm este conflito. O negócio depende de renovares, não daquilo que os anunciantes podem saber sobre ti. Vale a pena pagar por isto se estás a escrever o tipo de coisas que os diários costumam guardar.

O teste da exportação e da eliminação

Experimenta os dois antes de confiares a uma aplicação um ano de escrita:

• Exportação: consegues tirar cada história num formato utilizável (markdown, texto, JSON)? Se não, a tua escrita fica refém da sobrevivência da aplicação.
• Eliminação: quando apagas uma história ou a conta inteira, a aplicação explica o que acontece na prática? Os dados saem das cópias de segurança dentro de um prazo razoável? Respostas vagas são um sinal de alerta.

A questão da confiança em aplicações de código fechado

A maior parte das aplicações é de código fechado, ou seja, as afirmações sobre privacidade não podem ser verificadas de forma independente lendo o código. Isso não quer dizer automaticamente que as afirmações são falsas. Significa que a confiança assenta na reputação da empresa, na sua estrutura de incentivos e na transparência sobre como a aplicação funciona realmente.

Pergunta: a empresa explica detalhes técnicos quando lhe pedem? Já fez auditorias de segurança independentes? A política de privacidade é específica, ou está cheia de saídas como 'exceto se exigido por lei' e 'podemos partilhar com parceiros'?

Uma lista breve

• Encriptação de ponta a ponta, dita por esse nome, e não afirmações vagas de 'encriptação'.
• Chaves guardadas no teu dispositivo, e não nos servidores da empresa.
• Modelo de negócio que não depende dos teus dados.
• Exportação funcional para um formato portátil.
• Política de eliminação específica, sem fórmulas vagas.
• Política de privacidade sem cláusulas amplas de partilha.

A versão Innera

O Innera foi construído à volta desta lista. Encriptado de ponta a ponta, com as chaves apenas no teu dispositivo. Financiado por subscrição, para que o negócio não dependa das tuas histórias. Exportação completa. Eliminação específica. A promessa de privacidade é aquilo para que a aplicação serve mesmo, não uma frase de marketing na página de entrada.

Passa esta lista pela aplicação que estás a considerar. A maior parte falha em pelo menos dois pontos. As que passam são as únicas que vale a pena confiar com as coisas que não consegues dizer em voz alta.