Facebook não sabe o que faz com seus dados ou para onde eles vão, mostra documento

Em todo o mundo, as empresas de tecnologia tentam lidar com a força dos regulamentos de privacidade que obrigam a mudança de comportamento sobre o tratamento de dados pessoais de usuários. Para o Facebook, o problema ‘fundamental’ é a própria empresa não ter ideia para onde vão todos esses dados coletados, ou que está se fazendo com eles, segundo um documento interno vazado ao Motherboard.

Imagem: Vice

“Nós construímos sistemas com fronteiras abertas. O resultado destes sistemas abertos e cultura aberta é bem descrito com uma analogia: Imagine que você segura uma garrafa de tinta na mão. Essa garrafa de tinta é uma mistura de todos os tipos de dados do usuário (3PD, 1PD, SCD, Europa, etc.). Você derrama essa tinta nas águas de um lago (nossos sistemas de dados abertos; nossa cultura aberta)… e ela flui… para todos os lugares”, lê-se no documento. “Como você coloca essa tinta de volta na garrafa? Como você a organiza novamente, de modo que ela só flua para os lugares permitidos no lago”?

3PD significa dados de terceiros; 1PD significa dados de primeira parte; SCD significa dados de categorias sensíveis

Imagem: Evan/Reddit

O documento foi escrito no ano passado pelos engenheiros de privacidade do Facebook da equipe de Anúncios e Produtos Comerciais, cuja missão é “fazer conexões significativas entre pessoas e empresas” — o centro de estratégia de monetização e o motor que impulsiona o crescimento do Facebook, de acordo com a descrição de uma vaga que descreve a equipe.

Ela é a responsável por construir e manter o sistema de anúncios espalhados pelo Facebook — núcleo dos negócios da empresa. No documento vazado, a equipe lança um alerta sugerindo mudanças na forma como o Facebook lida com os dados dos usuários a fim de evitar problemas futuros com reguladores na Europa, nos EUA, na Índia e nos demais países que têm pressionado por restrições mais rigorosas de privacidade sobre as empresas de mídia social.

Imagem: AngieYeoh/Shutterstock.com

“Não temos um nível adequado de controle e explicabilidade sobre como nossos sistemas utilizam os dados e, portanto, não podemos fazer com confiança as mudanças de políticas controladas ou compromissos externos como ‘não utilizaremos dados X para fins Y’. E ainda assim, é exatamente isso que os reguladores esperam que façamos, aumentando nosso risco de erros e deturpações”, lê-se no documento.

Os próprios engenheiros reconhecem que há uma luta para fazer sentido e manter controle sobre o destino dos dados dos usuários uma vez que eles adentram o sistema do Facebook. Um problema conhecido como “linha de dados”.

Um tsunami chamado GDPR

Desde quando entrou em vigor na Europa, em maio de 2018, o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) tem influenciado a atitude de reguladores pelo mundo nos últimos anos ao limitarem plataformas como o Facebook de utilizarem os dados dos seus próprios usuários.

No artigo 5 do regulamento, é determinado que os dados pessoais devem ser “coletados para fins específicos, explícitos e legítimos e não devem ser processados posteriormente de forma incompatível com esses fins”. Logo, dados tidos como sensíveis pela LGPD, como a localização do usuário, ou orientação religiosa, por exemplo, só podem ser coletados e utilizados para uma finalidade específica, sem reutilização para outra finalidade.

Imagem: Christian Lue/Unsplash

Entretanto, em uma das várias violações cometidas pelo Facebook ao longo da história da rede social, o site Gizmodo, com auxílio de pesquisadores acadêmicos, pegou a empresa fazendo isso. Ao coletar o número de telefone fornecido pelos usuários para proteger suas respectivas contas com autenticação de dois fatores, o Facebook usou esses mesmos dados para alimentar o recurso “pessoas que você pode conhecer”, além de fornecê-los a anunciantes. Após a denúncia, a empresa foi obrigada a cessar a prática.

De acordo com especialistas jurídicos que falaram ao Motherboard, a GDPR proíbe especificamente esse tipo de redirecionamento, enquanto que o documento vazado revela a incapacidade do Facebook de limitar a forma como ele trata os dados dos usuários. O que torna questionável o cumprimento amplo dos regulamentos de privacidade devido à enorme quantidade de dados que coleta e flui dentro da companhia.

Facebook nega descumprimento dos regulamentos de privacidade

“Considerando que este documento não descreve nossos amplos processos e controles para cumprir com os regulamentos de privacidade, é simplesmente impreciso concluir que ele demonstra não conformidade. Novas regulamentações de privacidade em todo o mundo introduzem requisitos diferentes e este documento reflete as soluções técnicas que estamos construindo para dimensionar as medidas atuais que temos em vigor para gerenciar dados e cumprir nossas obrigações”, disse o porta-voz em uma declaração por e-mail.

Em relação à analogia com a tinta, o porta-voz disse que ela “carece do contexto que, de fato, temos processos e controles extensos para gerenciar dados e cumprir com as normas de privacidade”.

Imagem: Jason Dent/Unsplash

‘Show de merda’

Ao rever o documento, um ex-funcionário do Facebook, que pediu anonimato para evitar retaliações, chamou-o de “contundente”. “O Facebook tem uma ideia geral de quantos bits de dados são armazenados em seus centros de dados”, disse ele em um bate-papo online.

“A parte para onde [os dados] vão é, em termos gerais, um completo show de merda”.

“É uma admissão condenatória, mas também oferece cobertura legal do Facebook pelo custo para consertar esta bagunça”, acrescentou. “Isso dá a eles a desculpa para manterem tantos dados privados simplesmente porque, em sua escala e com seu modelo de negócios e design de infraestrutura, eles podem afirmar plausivelmente que não sabem o que têm”.

Especialistas de privacidade: documento mostra ‘reconhecimento’

Para especialistas em privacidade que lutam para limitar a forma como o Facebook usa os dados privados, o documento é um reconhecimento de que a empresa não pode cumprir com os regulamentos. “Este documento admite o que há muito suspeitávamos: que há um vale tudo de dados dentro do Facebook, e que a empresa não tem nenhum controle sobre os dados que possui”, disse Johnny Ryan, ativista de privacidade e membro sênior do Conselho Irlandês para as Liberdades Civis, em um bate-papo online. “É um reconhecimento claro da ausência de qualquer proteção de dados”. O Facebook detalha como ele quebra cada princípio da lei de proteção de dados. Tudo o que ele faz com nossos dados é ilegal. Você não está autorizado a ter um vale tudo de dados internos”.

‘Fonte e finalidade’

“Os consumidores e reguladores ficariam e deveriam ficar chocados com a magnitude e desordem dos dados dentro dos sistemas do Facebook”, comentou Jason Kint, CEO da Digital Content Next, uma organização comercial que representa os editores de jornalismo e um franco crítico do Facebook.

Para ele, a metáfora eloquente mostra que a companhia dirigida por Zuckerberg não consegue acompanhar a “fonte e finalidade” dos dados que ela coleta. Kint se refere ao artigo 5 da GDPR, que estabelece o princípio da “limitação de propósito”.

O princípio, de acordo com Ryan, responsabiliza às empresas de informarem aos usuários e reguladores sobre a forma como cada pedaço específico de dados é usado e a razão específica pela qual eles estão coletando-os. A limitação de propósito foi criada para proteger a privacidade das pessoas.

Sob este mesmo artigo, o ativista processou o Google na Irlanda em 2020, acusando a empresa de violar o princípio “com suas “várias centenas de propósitos de processamento que estão confinadas em uma vasta e interna informação livre para todos”.

Imagem: Jonny Gios/Unsplash

A defesa de Ryan, Ravi Naik, disse que se reguladores considerassem o Facebook em uma violação da GDPR, a empresa estaria sujeita a multas administrativas de até 4% da receita global além de abrir precedentes para ordenar uma suspensão sobre determinadas formas de processar de dados. Cada usuário da rede social também poderia acionar à justiça solicitando informações sobre o que o Facebook faz com os dados, como Naik e Ryan estão fazendo com o Google.

Facebook está tentando se antecipar a mais leis de privacidade, dizem funcionários

Em defesa, dois funcionários do Facebook tentaram explicar como a empresa trata os dados internamente. Segundo eles, a empresa está tentando se antecipar a mais leis de privacidade e construir uma infraestrutura para atender a exigências hipotéticas.

Isso significa mais investimento em ferramentas de análise de dados dos usuários e conhecimento dos pontos possíveis para aplicar automação, livrando o envolvimento humano no processo. Segundo os representantes entrevistados, isso demandaria investimentos significativos, mas que isso é uma prioridade para a empresa.

Foto: Facebook

• Metaverso: a monetização de todo comportamento humano

Eles adicionaram que o Facebook não tem controle técnico sobre cada dado, entretanto, afirmam que existe algum mecanismo para gerenciá-los: como uma marcação de exclusão dos dados que o usuário optou por não usar para publicidade, deixando claro que não podem ser usados para certos fins.

‘Anúncios Básicos’: a resposta “a curto prazo” aos regulamentos

Além da preocupação dos engenheiros com os dados de usuários, o documento interno também cita um “novo” produto: os ‘Anúncios Básicos’, o qual se referem como uma resposta “a curto prazo” às exigências dos regulamentos em todo o mundo. “Quando lançado, os usuários do Facebook poderão ‘optar por não ter quase todos os seus dados 3P [terceiros] e 1P [primeira parte] usados pelos sistemas de Anúncios – likes de páginas, posts, lista de amigos, etc.”, diz o documento.

O documento ainda diz que os Anúncios Básicos “precisam estar prontos para lançamento na Europa até janeiro de 2020”. Após dois anos a partir do escrito, a empresa ainda não lançou a ferramenta, mostrando que está atrasada em relação ao prazo estabelecido pelos próprios funcionários.

Imagem: PixieMe/Shutterstock.com

Ao ser questionado sobre os Anúncios Básicos, o Facebook se recusou a comentar. Já os representantes disseram que o nome seria um código interno, e que o produto mostrará que a empresa pode construir publicidade que seja relevante para os usuários, preservando sua privacidade.

Legisladores europeus e americanos pedem uma supervisão mais próxima

Após as revelações do documento interno do Facebook, legisladores americanos e europeus pediram uma supervisão mais dura sobre o gigante da tecnologia para garantir a conformidade para com as regulamentações existentes, como a GDPR, Lei de Privacidade do Consumidor da Califórnia, e outras regulamentações governamentais voltadas para proteger a privacidade dos usuários.

“A ideia de que o Facebook não entende para onde vão seus dados ou quem os está usando é decepcionante e alarmante, mas, francamente, totalmente sem surpresas. Há anos, venho chamando no Facebook para salvaguardar melhor os dados dos usuários e respeitar a privacidade dos mesmos. Seu desprezo irresponsável pela privacidade e segurança dos dados de seus usuários ressalta a necessidade urgente de regulamentação para forçar as empresas de tecnologia a melhorar seu comportamento”, disse o senador democrata Mark Warner em uma declaração enviada via e-mail.

Em resposta às críticas dos legisladores, um porta-voz da Meta disse que as “alegações são infundadas e deturpam completamente a forma como administramos os dados”.

Enquanto que do outro lado do oceano, o Parlamento Europeu, próximo de adotar um conjunto de leis que visam regular as empresas de tecnologia, também teceu duras críticas ao Facebook.

Imagem: Guillaume Perigois/Unsplash

Martin Schirdewan, que representa a Alemanha no Parlamento desde 2017, disse em um e-mail ao Motherboard que “o Facebook prova repetidamente com sua ignorância em relação à proteção de dados, que eles são uma máquina de dinheiro sem consciência”. Claramente o Facebook esqueceu de programar a empatia do usuário em sua placa-mãe”.

“A solução é controlar politicamente o modelo de negócios inescrupuloso da Big Tech”. A proteção de dados pessoais deve ser assegurada por meio de uma proibição de publicidade e perfil personalizados. As práticas comerciais das empresas digitais roubam os usuários e violam sua liberdade e direitos pessoais”, acrescentou Schirdewan. “A DSA proibirá a publicidade personalizada para menores de idade e o uso de dados sensíveis, o que é um sucesso para a proteção dos usuários, mas não o suficiente para mudar o comportamento inescrupuloso do Facebook e da companhia.”.