Coleta de dados: aplicativos realmente respeitam escolha do usuário?

Será que todos os aplicativos instalados no celular respeitam às configurações de privacidade para dados de localização, acesso ao microfone, à câmera, dados de calendário, agenda de contatos etc, ou isso é mera aparência de controle?

É provável que em meio a tantos apps, alguns estejam ignorando tais escolhas e coletando dados pessoais e sensíveis sem que o usuário saiba. Ou que essas empresas nem ao menos saibam se receberam ou não consentimento para colher essas informações.

Um exemplo de caso é o da Huq, uma fornecedora de dados que obtém informações granulares de localização de aplicativos comuns instalados em celulares de usuários e depois os vende. Ele tem recebido coordenadas GPS mesmo quando as pessoas explicitamente optaram por não receber essa coleta dentro de aplicativos Android.

Imagem: Rami Al Zayat/Unplash

“‘A coleta de dados está desativada, não haverá dados compartilhados com terceiros’, leia-se na configuração. Isso foi falso”, diz Joel Reardon ao Motherboard, professor assistente da Universidade de Calgary e cofundador forense do AppCensus, após baixar o “Network Signal Info”.

O pesquisador observou que o aplicativo ainda enviava dados mesmo após optar por não compartilhar dados com terceiros. Entretanto, não foi apenas com o Network Signal Info que o opt-out não teve efeito.

Tal resultado mostra que há um problema grave para com os usuários de smartphones: não é possível ter certeza se todos os aplicativos instalados estão respeitando a preferência explícita (do usuário) em relação ao compartilhamento de dados. Mas o problema não se restringe àqueles que usam os apps: isso afeta também as empresas de dados de localização, pois muitos afirmam que esta coleta é feita com base em consentimento, e por extensão, respeitando às normas de privacidade. Por outro lado, elas podem nem mesmo saber se estão realmente recebendo esses dados com ou sem o  consentimento.

Para o cofundador do AppCensus, empresa que analisa aplicativos, “isso mostra uma necessidade urgente de ação regulatória”. “Eu sinto que há muito de errado com a ideia de que — desde que você o diga em sua política de privacidade — é bom fazer coisas como rastrear milhões de pessoas a cada momento e vendê-lo a empresas privadas para fazer o que elas querem com ele. Mas como começar a consertar problemas como este quando isso vai acontecer independentemente de você concordar ou não, independentemente de qualquer consentimento”, questiona.

O aplicativo “QR & Barcode Scanner”, com 5 milhões de downloads, também agia “debaixo dos panos”. O pesquisador observou novamente o tráfego entre o dispositivo e a Huq, cuja transferência de dados de localização nomeava especificamente o app. “Novamente nunca consenti”, escreveu Reardon.

A Kaibits Software GmbH, desenvolvedora da Network Signal Info, e nem o AppSourceHub, da QR & Barcode Scanner, responderam aos pedidos de comentário da Motherboard.

Permissões: Google e Apple passam mais controle aos usuários

Apesar das duas empresas terem dado aos usuários mais controle sobre suas escolhas a aplicativos específicos nos últimos anos, e as permissões no Android para permitir ou bloquear o acesso de apps afiliados a Huq aos dados de GPS estarem funcionando como esperado, as configurações internas dos aplicativos — opções de exclusão de compartilhamento de dados em nível de aplicativo — estão sendo ignoradas, de acordo com os testes do AppCensus e da Motherbord.

De acordo com as política do Google Play, desenvolvedores de aplicativos são proibidos de vender dados pessoais ou sensíveis coletados através de seus aplicativos (incluindo dados de localização).

Após a denúncia do caso da Huq, o Google proibiu fornecedores de localização que compraram dados de localização, por exemplo X-Mode e Predicio.

Imagem: hK/Unplash

Huq: código extra incluso nos apps comuns

Sediada no Reino Unido, a Huq afirma coletar e processar mais de 1 bilhão de dados/dia sobre mobilidade. Além disso, a empresa fornece dados a 161 países diferentes, de acordo com o seu website.

Além disso, assim como outras empresas da indústria de localização, ela diz vender acesso ou produtos baseados em localização coletados a governos locais, investidores financeiros, varejo e imobiliário.

Esses dados também foram usados usados por motoristas britânicos que se deslocaram para postos de gasolina, segundo a reportagem do Financial Times.

E como a Huq obtém esses dados? Ela paga aos desenvolvedores de apps para incluir seu kit de desenvolvimento de software (SDK) em aplicativos. O pacote de códigos se encarrega de transferir os dados de localização para a Huq, que podem vir tanto de dispositivos iOS quanto Android. “Speedcheck”, um aplicativo de teste de velocidade da Internet; “Simple weather & clock widget”, um app meteorológico básico; e “Qibla Compass”, um aplicativo de oração muçulmana estão entre os mais baixados — milhões ou dezenas de milhões de vezes.

Apesar da empresa não revelar publicamente com quais aplicativos tem relações, o site da Huq afirma que o relacionamento com apps “nos permite garantir o controle sobre a qualidade dos dados e a coleta do consentimento do usuário final”.

Segundo o diretor de tecnologia da Huq, Isambard Poulson, os desenvolvedores de aplicativos são os responsáveis pela obtenção desse consentimento. “Nosso SDK só deve ser rubricado quando os usuários derem o consentimento. O desenvolvedor do aplicativo é responsável pela implementação de seu próprio sistema de gerenciamento de consentimento”, escreveu Poulson.

O diretor diz que o caso da Network Signal Info estar enviando dados para Huq sem consentimento ainda não foi investigado, porém afirmou que trabalhará com a editora do aplicativo para corrigir qualquer problema.

O que dizem o GDPR e a CCPA?

Para que o processamento de dados seja legal sob a GDPR — Regulamento Geral de Proteção de Dados —, os dados pessoais devem ser processados com base no consentimento do sujeito dos dados — ou seja, do usuário da aplicação — ou em alguma outra base legítima.

Já a CCPA — Lei de Proteção ao Consumidor da Califórnia —, os consumidores têm o direito de exigir que as empresas deixem de usar seus dados de determinadas maneiras e as empresas devem seguir essa exigência.

Em uma carta enviada à Autoridade de Proteção de Dados dinamarquesa (DPA) no início deste ano, a Huq disse que ela realiza testes automatizados mensalmente para garantir a conformidade dos aplicativos participantes.

Imagem: Wallpaper Pixelz

Para Johnny Ryan, membro do Conselho Irlandês para as Liberdades Civis e ex-chefe de política do navegador de web Brave, a questão da Huq receber dados de localização sem consentimento “reflete um padrão de comportamento mais amplo”. “O sistema de consentimento padrão da indústria (IAB Transparency and Consent Framework) não tem nenhuma tecnologia incorporada para impedir que os dados sejam transmitidos, portanto não importa o que as pessoas clicam. Em outras palavras, a mera aparência de controle”, acrescentou ele.