1 pontos por GN⁺ 2024-09-30 | 1 comentários | Compartilhar no WhatsApp
  • Em uma investigação de 4 anos da FTC, 9 plataformas de redes sociais e vídeo, como Facebook, YouTube e X, coletaram e compartilharam amplamente dados pessoais para publicidade comportamental online, e os consumidores tiveram dificuldade para controlar isso de forma efetiva
  • O escopo da coleta foi além da atividade dentro das próprias plataformas e se estendeu à atividade em outros sites e apps, informações de não usuários e até dados comprados de corretoras de dados terceiras; algumas empresas nem conseguiram informar com precisão a origem dos dados
  • A maioria das empresas compartilhou dados pessoais com terceiros, mas algumas não conseguiram fornecer nem mesmo uma lista completa de todos os destinatários, e quase não havia verificação de terceiros nem checagem do cumprimento de restrições de uso
  • A vigilância acontecia nos bastidores, e as configurações de privacidade eram opacas ou tinham eficácia limitada, de modo que algumas empresas não chegaram a apagar de fato os dados dos usuários mesmo após pedidos de exclusão
  • A EFF considera que o modelo de negócios da publicidade comportamental é a pressão estrutural por trás da vigilância comercial e pede uma lei federal de privacidade robusta com minimização de dados, direitos do usuário, proibição da publicidade comportamental online e direito de ação privada

A dimensão da vigilância comercial revelada pela investigação da FTC

  • O novo relatório da FTC reforça os alertas de longa data da EFF de que grandes empresas de tecnologia vêm coletando e compartilhando dados pessoais para sustentar o negócio de publicidade comportamental online
  • A investigação analisou, ao longo de 4 anos, as práticas de dados de 9 plataformas de redes sociais e vídeo, incluindo Facebook, YouTube e X (antigo Twitter)
  • Nem todas as empresas investigadas violaram a privacidade da mesma forma, mas o quadro geral mostra uma estrutura que prioriza receita acima da privacidade

Coleta de dados pessoais além do que o usuário espera

  • As empresas não rastrearam apenas a atividade dentro de suas próprias plataformas
    • Monitoraram atividades em outros sites e apps
    • Também coletaram informações sobre não usuários
    • Compraram dados pessoais de corretoras de dados terceiras
  • Algumas empresas não conseguiram ou não informaram à FTC exatamente de onde vinham os dados dos usuários
  • Os dados coletados incluíam sites visitados, dados de localização, informações demográficas e interesses
    • Entre os interesses havia até interesses sensíveis, como “divorce support” e “beer and spirits”
  • Algumas empresas só conseguiram relatar os atributos rastreados dos usuários em descrições de alto nível, enquanto outras enviaram planilhas com milhares de atributos

Compartilhamento com terceiros e falta de verificação

  • A maioria das empresas informou ter compartilhado dados pessoais com terceiros
  • Algumas alegaram que compartilhavam dados pessoais de forma tão ampla que não conseguiam fornecer uma lista de todos os terceiros destinatários
  • Entre os destinatários identificáveis estavam órgãos de aplicação da lei e outras empresas dentro e fora dos Estados Unidos
  • A maior parte das empresas não tinha procedimentos para verificar terceiros antes de compartilhar dados, e nenhuma monitorava continuamente se as restrições de uso dos dados estavam sendo cumpridas
  • Mesmo quando as empresas alegavam finalidades aparentemente menos invasivas, como análise, não havia garantia de que os dados seriam usados apenas para isso
  • A ausência dessas salvaguardas expõe os consumidores a riscos significativos de privacidade

Tratamento de dados difícil de entender para o consumidor

  • Falta transparência sobre como os dados pessoais são coletados, compartilhados e usados
  • Se as empresas nem conseguem dizer à FTC com quem compartilham dados, é difícil esperar que informem isso de maneira honesta aos usuários
  • Como o rastreamento e o compartilhamento ocorrem nos bastidores, é difícil para os usuários saber quanta privacidade estão abrindo mão em cada plataforma
  • As empresas coletam não só dados das próprias plataformas, mas também a atividade dos usuários por toda a web e informações de não usuários
  • É quase impossível para uma pessoa evitar que seus dados sejam engolidos por uma enorme rede de vigilância digital
  • Mesmo quando existem controles de privacidade, eles costumam ser opacos ou ter eficácia limitada
  • Algumas empresas não apagaram de fato os dados dos usuários mesmo após responder a pedidos de exclusão
  • A escala e o caráter sigiloso da vigilância comercial tratados pela FTC mostram que não dá para deixar todo o peso da proteção da privacidade apenas sobre o consumidor individual

A pressão criada pelo modelo de negócios da publicidade comportamental

  • Violações de privacidade não são erros pontuais, mas um problema inerente ao modelo de negócios da publicidade comportamental online
  • As empresas reúnem enormes volumes de dados para criar perfis detalhados dos usuários e direcionar anúncios
  • A receita gerada pelo direcionamento publicitário baseado em dados pessoais pressiona as empresas a desenvolver métodos de coleta cada vez mais invasivos
  • A FTC concluiu que o modelo de negócios da maioria das empresas investigadas incentiva violações de privacidade

A legislação federal de privacidade defendida pela EFF

  • Na ausência de uma lei federal de privacidade, as empresas puderam coletar e compartilhar dados pessoais de bilhões de usuários com pouquíssimas salvaguardas
  • O relatório da FTC confirma o fracasso da autorregulação
    • As políticas internas de privacidade de dados das empresas são inconsistentes e insuficientes
    • Elas deixam espaço para que a receita seja priorizada em detrimento da privacidade
  • A FTC afirmou que “não há dúvida de que, sem medidas substanciais, o ecossistema de vigilância comercial vai piorar”
  • A EFF defende três pilares para a legislação
    • Minimização de dados e direitos do usuário: as empresas não devem poder processar dados além do necessário para fornecer o serviço solicitado pelo usuário, e os usuários devem ter direito de acessar, transferir, corrigir e excluir seus dados
    • Proibição da publicidade comportamental online: para atacar a causa estrutural da vigilância comercial, é preciso proibir a publicidade comportamental; caso contrário, as empresas continuarão procurando maneiras de contornar leis de privacidade para lucrar com a coleta invasiva de dados
    • Aplicação forte, com direito de ação privada: como os recursos públicos de fiscalização são limitados, indivíduos devem poder processar empresas que violem sua privacidade para evitar que as infrações continuem de forma disseminada

O que é possível fazer agora — e seus limites

  • Usar serviços online não deveria significar entregar dados pessoais a inúmeras empresas para que façam o que quiserem com eles
  • Ao criar uma conta em um site, ninguém deveria precisar se preocupar com terceiros aleatórios recebendo suas informações ou com cada clique sendo monitorado para entrega de anúncios
  • A extensão Privacy Badger da EFF pode ajudar a bloquear algumas das tecnologias de rastreamento citadas no relatório da FTC
  • A escala da vigilância comercial revelada pela investigação da FTC é difícil de enfrentar apenas com ferramentas individuais, e exige uma lei federal de privacidade forte

1 comentários

 
GN⁺ 2024-09-30
Opiniões do Hacker News
  • Recentemente, uma empresa fez uma demonstração mostrando que conseguia ver, em até 500 ms, o histórico profissional, relatório de crédito e saldo bancário de visitantes de sites com código de rastreamento instalado
    Diziam que usavam essas informações em um produto de qualificação de leads para equipes de vendas, para que elas soubessem quem seria perda de tempo abordar e quem não seria
    Foi realmente assustador, e os fundadores não pareciam ter qualquer escrúpulo ético em comprar, vender e usar esse tipo de dado

    • Nada disso é preciso; quase tudo é modelado a partir de dados de treinamento escassos e de baixa qualidade
      Bancos não estão vendendo dados de saldo de contas vinculados a informações pessoais para agregadores suspeitos
      O mais interessante e absurdo é quantos agregadores conseguem vender lixo de dados com tanto sucesso
    • Ideia gratuita de startup: SaaS para resolver o dilema do bonde
      Basta integrar isso a dados de placas de veículos, registros imobiliários, reconhecimento de pessoas e localização em tempo real
      Quando um carro autônomo detectar que está fora de controle e que não pode evitar uma responsabilidade iminente, ele pode consultar uma API que fornece uma pontuação de evasão para cada consumidor e propriedade ao redor, permitindo fazer uma análise de custo-benefício por vítima em potencial
      Com base nessa pontuação, o veículo pode encontrar o caminho com a menor responsabilidade; e alvos não identificados poderiam receber pontuação 0, incentivando os consumidores a se integrarem a esse tipo de serviço
    • Quando vi pela primeira vez um spyware de site de marketing gravar, por meio de replay de sessão, todos os movimentos do mouse e entradas no computador do usuário, concluí que a internet tinha sido um erro
    • E se o alvo fosse a sua filha?
      22 anos, altura e peso equilibrados, mas com pouca capacidade de decisão
      E se fosse seu filho?
      Vi frases como estas sendo oferecidas a jovens que pagam aluguel: “O Flex permite que você pague o aluguel em um cronograma mais alinhado ao seu orçamento mensal e libere fluxo de caixa.”
      “Ajuda você a pagar o aluguel em dia, melhorar seu fluxo de caixa e construir seu histórico de crédito.”
    • Uma empresa que vendia tecnologia de rastreamento de anúncios já fez uma demonstração parecida
      Foi na França, antes do GDPR, e ela tinha acesso à localização dos usuários por meio de parcerias com vários apps, como apps de clima
      Não lembro exatamente o tamanho da base, mas era uma grande parcela da população francesa
      Mostraram um mapa de Paris e exibiram qual rota um usuário específico tomou depois de sair de casa, quanto tempo ficou parado em frente a uma loja e quanto tempo passou dentro de outra
      Na época, meu chefe achou aquilo extremamente empolgante
  • Finalmente. Todo mundo “sabe” que empresas literalmente colocam o lucro acima de tudo
    É bom ver a FTC de volta, e parece que só há progresso significativo quando existe regulação forte
    Outro exemplo representativo é a EPA. Antes de a regulação e a fiscalização se estabelecerem, a poluição era tão grave que, em algumas cidades, as pessoas precisavam usar máscaras de gás ao ar livre; as emissões de CFC seguiram um padrão parecido
    O desenvolvimento da internet acelerou principalmente sob lideranças conservadoras que reverteram regulações e, embora tenha havido muita inovação nesse período, acho que poderíamos ter alcançado muito mais se tudo não estivesse tão concentrado nesse ambiente de lucro em primeiro lugar

    • Teria sido bom se a EPA não tivesse falhado na questão da poluição sonora
    • As pessoas também escolhem dinheiro em vez de privacidade
      Elas não se recusam a trabalhar nesse tipo de empresa e ganham muito dinheiro implementando esses sistemas
    • É verdade que precisamos de regulações melhores para controlar essas empresas, mas são justamente essas empresas que vão tentar comprar políticos e todas as pessoas possíveis
      Não há como ser uma solução fácil ou rápida; o público precisa se envolver mais para que as leis e regulações necessárias sejam aprovadas
    • Ter de usar máscara de gás ao ar livre parece um dano bastante ruim e concreto causado pela falta de regulação da poluição
      Existe algum exemplo igualmente concreto de dano causado pela falta de regulação da coleta de dados?
    • Antes da regulação, empresas despejavam todo tipo de coisa nos rios, a ponto de haver vários rios que pegavam fogo, e isso aconteceu repetidas vezes
      Às vezes é realmente inacreditável ver pessoas argumentando, com seriedade, que “não há necessidade de impedir isso”
  • Há um link para o relatório no começo do artigo:
    https://www.ftc.gov/news-events/news/press-releases/2024/09/...
    https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...
    Edit: adicionado link do PDF

    • “De acordo com os dados coletados, muitas empresas afirmam que não há crianças em suas plataformas porque seus serviços não são direcionados a crianças ou porque não permitem que crianças criem contas”, diz o relatório da equipe
      É curioso que elas consigam segmentar grupos de anúncios com precisão por todo tipo de interesse e contexto detalhado, mas ainda não tenham aperfeiçoado a tecnologia para determinar se alguém é criança
      Certamente deve ser uma tecnologia muito elusive que elas vêm tentando implementar dia e noite há anos
      Quase parece que lucram ao fingir que não sabem
  • Fizemos uma investigação de 4 anos para nos dizer o que já sabíamos
    A verdadeira pergunta é o que o governo federal, ou qualquer um, vai fazer a respeito disso

    • Muita gente pergunta por que pesquisar e documentar algo que já é “senso comum”
      Na pesquisa científica é a mesma coisa, então pode parecer desperdício de dinheiro
      Mas, até fazer o trabalho de fato, você não sabe
      Cientistas e servidores públicos não podem citar senso comum, e os detalhes importam mesmo quando a conclusão está correta
      A escala importa, e o mecanismo de funcionamento importa
    • O governo não vai fazer nada
      Porque o próprio governo quer fazer a vigilância que não pode fazer diretamente por lei
      Se a vigilância corporativa existe, o governo também pode usá-la, então isso também o beneficia
    • O que eu quero é uma emenda constitucional que proíba violações governamentais da privacidade, uma lei que estenda esse direito às interações entre indivíduos e entidades privadas, orçamento para fazer valer essa proteção, sanções civis por violações de direitos e orçamento para os tribunais lidarem com esses casos
      O que eu realmente espero é algo como limitar a vigilância extremamente invasiva a empresas controladas domesticamente
    • Este relatório fornece uma estrutura para a legislação
      De forma alguma é apenas “nos dizer o que já sabemos”
    • Muita gente acha que “sabe” coisas que na verdade estão erradas
      Esta investigação é um primeiro passo importante para o governo ter certeza do que está acontecendo antes de exercer o poder estatal, e isso é bom
      O exercício do poder estatal com base em clima ou rumores não é desejável
      A FTC de Biden tem sido bastante agressiva contra várias práticas anticonsumidor em toda a economia, e esse tipo de relatório tende a ser seguido por ações desse tipo
      Acho que veremos alguma ação em relativamente pouco tempo
  • As informações armazenadas por agências de crédito e bancos são muito mais assustadoras
    Elas sabem o salário de todos os lugares onde você trabalhou e onde morou
    Com tantos vazamentos recentes, agora qualquer pessoa pode encontrar esse tipo de informação na dark web

  • Esse cavalo já saiu do estábulo há mais de 10 anos
    Antes eu trabalhava com segurança e proteção de privacidade tentando reduzir os riscos da distopia cyberpunk corporativa que se aproximava, mas hoje vejo como pior resultado o governo ter o monopólio da vigilância
    A verdadeira solução é tornar certas categorias de dados pessoais legalmente privilegiadas ou inadmissíveis em processos civis e criminais não violentos, dependendo de como foram coletadas, e exigir que as fontes de coleta de informações de identificação pessoal relevantes para decisões comerciais sejam divulgadas em propostas e contratos
    Assim, seguradoras e credores deveriam voltar a assumir riscos reais, em vez de agir como rentistas, e a polícia deveria ser servidora pública, não governante; além disso, deveria provar que a fonte dos dados pessoais usados como prova era uma fonte legal e regulamentada, incluindo consentimento explícito
    Não dá para bloquear o fluxo da coleta de dados, mas dá para melhorar as leis que o governam

    • Não é uma questão de escolher um dos dois
      Se simplesmente proibirmos a coleta de dados pessoais, isso pode se aplicar tanto ao Estado quanto aos anunciantes
      Informação é poder, e se seguradoras e produtores sabem tudo sobre você, você acaba sendo espremido como uma vítima pobre
      Em dias ruins, às vezes acredito que pessoas que compartilham informações demais atraíram esse destino para si mesmas, mas há poucos argumentos contra regular a coleta de informações ou impor uma responsabilização forte, com penalidades financeiras severas em caso de vazamento
      A regulação em si não seria difícil. A fiscalização não seria fácil, mas para muitas empresas o risco poderia ser grande demais até para tentar
  • Passei a considerar o setor de publicidade algo muito pior que o complexo industrial-militar, e espero que algum dia um poder superior puna os executivos envolvidos com grande vingança e fúria furiosa

  • Acho hipócrita o Estado regular a vigilância de empresas privadas
    Você tem a opção de não usar as tecnologias de coleta de dados dessas empresas, mas não pode recusar a vigilância estatal
    Não vamos jogar esse jogo de colocar o Estado como o lado bom e as empresas como o lado ruim

    • Então vamos aplicar exatamente o mesmo raciocínio a armas
    • Se você não quer que empresas tenham os mesmos direitos que o Estado, então “hipocrisia” é uma palavra completamente errada aqui
      Claro que, independentemente disso, o Estado também não deveria coletar essas informações
    • Não quero defender vigilância estatal, mas, pelo menos para mim, ela ainda oferece alguma sensação de segurança e investigação criminal sem interesse próprio, mesmo que isso seja discutível e talvez falso
      Detetives particulares privados só oferecem um lamaçal publicitário sem fim, e isso me esgota todos os dias
    • Achar que é simples escapar da coleta de dados enorme e pervasive feita pelas empresas é extremamente ingênuo
      Também não vamos jogar esse jogo de colocar as empresas como espectadoras inocentes e o Estado como adversário maligno
  • Não estamos presos no escuro
    Não estamos em 2016; se você usa essas empresas, sabe muito bem o que elas fazem
    Cresça, assuma a responsabilidade por usar esses serviços ou apague seus dados e vá embora
    Não tenho nenhuma simpatia por quem fica chocado com isso em 2024
    E você não é dono dos seus dados
    Essa ideia em si já é um absurdo sem sentido
    Aceitar isso torna a vida muito mais simples
    Se você quer crescimento das ações e empregos em tecnologia, isso faz parte do acordo
    Eu não criei isso e não é minha responsabilidade, mas essa é a realidade

  • Com isso, a precificação global ideal vai virar uma loucura
    Tudo será precificado pelo valor máximo que cada pessoa pode pagar, mas as pessoas vão consumir muito menos e ficar mais miseráveis, então o sistema inteiro vai entrar em colapso