- Em uma investigação de 4 anos da FTC, 9 plataformas de redes sociais e vídeo, como Facebook, YouTube e X, coletaram e compartilharam amplamente dados pessoais para publicidade comportamental online, e os consumidores tiveram dificuldade para controlar isso de forma efetiva
- O escopo da coleta foi além da atividade dentro das próprias plataformas e se estendeu à atividade em outros sites e apps, informações de não usuários e até dados comprados de corretoras de dados terceiras; algumas empresas nem conseguiram informar com precisão a origem dos dados
- A maioria das empresas compartilhou dados pessoais com terceiros, mas algumas não conseguiram fornecer nem mesmo uma lista completa de todos os destinatários, e quase não havia verificação de terceiros nem checagem do cumprimento de restrições de uso
- A vigilância acontecia nos bastidores, e as configurações de privacidade eram opacas ou tinham eficácia limitada, de modo que algumas empresas não chegaram a apagar de fato os dados dos usuários mesmo após pedidos de exclusão
- A EFF considera que o modelo de negócios da publicidade comportamental é a pressão estrutural por trás da vigilância comercial e pede uma lei federal de privacidade robusta com minimização de dados, direitos do usuário, proibição da publicidade comportamental online e direito de ação privada
A dimensão da vigilância comercial revelada pela investigação da FTC
- O novo relatório da FTC reforça os alertas de longa data da EFF de que grandes empresas de tecnologia vêm coletando e compartilhando dados pessoais para sustentar o negócio de publicidade comportamental online
- A investigação analisou, ao longo de 4 anos, as práticas de dados de 9 plataformas de redes sociais e vídeo, incluindo Facebook, YouTube e X (antigo Twitter)
- Nem todas as empresas investigadas violaram a privacidade da mesma forma, mas o quadro geral mostra uma estrutura que prioriza receita acima da privacidade
Coleta de dados pessoais além do que o usuário espera
- As empresas não rastrearam apenas a atividade dentro de suas próprias plataformas
- Monitoraram atividades em outros sites e apps
- Também coletaram informações sobre não usuários
- Compraram dados pessoais de corretoras de dados terceiras
- Algumas empresas não conseguiram ou não informaram à FTC exatamente de onde vinham os dados dos usuários
- Os dados coletados incluíam sites visitados, dados de localização, informações demográficas e interesses
- Entre os interesses havia até interesses sensíveis, como “divorce support” e “beer and spirits”
- Algumas empresas só conseguiram relatar os atributos rastreados dos usuários em descrições de alto nível, enquanto outras enviaram planilhas com milhares de atributos
Compartilhamento com terceiros e falta de verificação
- A maioria das empresas informou ter compartilhado dados pessoais com terceiros
- Algumas alegaram que compartilhavam dados pessoais de forma tão ampla que não conseguiam fornecer uma lista de todos os terceiros destinatários
- Entre os destinatários identificáveis estavam órgãos de aplicação da lei e outras empresas dentro e fora dos Estados Unidos
- A maior parte das empresas não tinha procedimentos para verificar terceiros antes de compartilhar dados, e nenhuma monitorava continuamente se as restrições de uso dos dados estavam sendo cumpridas
- Mesmo quando as empresas alegavam finalidades aparentemente menos invasivas, como análise, não havia garantia de que os dados seriam usados apenas para isso
- A ausência dessas salvaguardas expõe os consumidores a riscos significativos de privacidade
Tratamento de dados difícil de entender para o consumidor
- Falta transparência sobre como os dados pessoais são coletados, compartilhados e usados
- Se as empresas nem conseguem dizer à FTC com quem compartilham dados, é difícil esperar que informem isso de maneira honesta aos usuários
- Como o rastreamento e o compartilhamento ocorrem nos bastidores, é difícil para os usuários saber quanta privacidade estão abrindo mão em cada plataforma
- As empresas coletam não só dados das próprias plataformas, mas também a atividade dos usuários por toda a web e informações de não usuários
- É quase impossível para uma pessoa evitar que seus dados sejam engolidos por uma enorme rede de vigilância digital
- Mesmo quando existem controles de privacidade, eles costumam ser opacos ou ter eficácia limitada
- Algumas empresas não apagaram de fato os dados dos usuários mesmo após responder a pedidos de exclusão
- A escala e o caráter sigiloso da vigilância comercial tratados pela FTC mostram que não dá para deixar todo o peso da proteção da privacidade apenas sobre o consumidor individual
A pressão criada pelo modelo de negócios da publicidade comportamental
- Violações de privacidade não são erros pontuais, mas um problema inerente ao modelo de negócios da publicidade comportamental online
- As empresas reúnem enormes volumes de dados para criar perfis detalhados dos usuários e direcionar anúncios
- A receita gerada pelo direcionamento publicitário baseado em dados pessoais pressiona as empresas a desenvolver métodos de coleta cada vez mais invasivos
- A FTC concluiu que o modelo de negócios da maioria das empresas investigadas incentiva violações de privacidade
A legislação federal de privacidade defendida pela EFF
- Na ausência de uma lei federal de privacidade, as empresas puderam coletar e compartilhar dados pessoais de bilhões de usuários com pouquíssimas salvaguardas
- O relatório da FTC confirma o fracasso da autorregulação
- As políticas internas de privacidade de dados das empresas são inconsistentes e insuficientes
- Elas deixam espaço para que a receita seja priorizada em detrimento da privacidade
- A FTC afirmou que “não há dúvida de que, sem medidas substanciais, o ecossistema de vigilância comercial vai piorar”
- A EFF defende três pilares para a legislação
- Minimização de dados e direitos do usuário: as empresas não devem poder processar dados além do necessário para fornecer o serviço solicitado pelo usuário, e os usuários devem ter direito de acessar, transferir, corrigir e excluir seus dados
- Proibição da publicidade comportamental online: para atacar a causa estrutural da vigilância comercial, é preciso proibir a publicidade comportamental; caso contrário, as empresas continuarão procurando maneiras de contornar leis de privacidade para lucrar com a coleta invasiva de dados
- Aplicação forte, com direito de ação privada: como os recursos públicos de fiscalização são limitados, indivíduos devem poder processar empresas que violem sua privacidade para evitar que as infrações continuem de forma disseminada
O que é possível fazer agora — e seus limites
- Usar serviços online não deveria significar entregar dados pessoais a inúmeras empresas para que façam o que quiserem com eles
- Ao criar uma conta em um site, ninguém deveria precisar se preocupar com terceiros aleatórios recebendo suas informações ou com cada clique sendo monitorado para entrega de anúncios
- A extensão Privacy Badger da EFF pode ajudar a bloquear algumas das tecnologias de rastreamento citadas no relatório da FTC
- A escala da vigilância comercial revelada pela investigação da FTC é difícil de enfrentar apenas com ferramentas individuais, e exige uma lei federal de privacidade forte
1 comentários
Opiniões do Hacker News
Recentemente, uma empresa fez uma demonstração mostrando que conseguia ver, em até 500 ms, o histórico profissional, relatório de crédito e saldo bancário de visitantes de sites com código de rastreamento instalado
Diziam que usavam essas informações em um produto de qualificação de leads para equipes de vendas, para que elas soubessem quem seria perda de tempo abordar e quem não seria
Foi realmente assustador, e os fundadores não pareciam ter qualquer escrúpulo ético em comprar, vender e usar esse tipo de dado
Bancos não estão vendendo dados de saldo de contas vinculados a informações pessoais para agregadores suspeitos
O mais interessante e absurdo é quantos agregadores conseguem vender lixo de dados com tanto sucesso
Basta integrar isso a dados de placas de veículos, registros imobiliários, reconhecimento de pessoas e localização em tempo real
Quando um carro autônomo detectar que está fora de controle e que não pode evitar uma responsabilidade iminente, ele pode consultar uma API que fornece uma pontuação de evasão para cada consumidor e propriedade ao redor, permitindo fazer uma análise de custo-benefício por vítima em potencial
Com base nessa pontuação, o veículo pode encontrar o caminho com a menor responsabilidade; e alvos não identificados poderiam receber pontuação 0, incentivando os consumidores a se integrarem a esse tipo de serviço
22 anos, altura e peso equilibrados, mas com pouca capacidade de decisão
E se fosse seu filho?
Vi frases como estas sendo oferecidas a jovens que pagam aluguel: “O Flex permite que você pague o aluguel em um cronograma mais alinhado ao seu orçamento mensal e libere fluxo de caixa.”
“Ajuda você a pagar o aluguel em dia, melhorar seu fluxo de caixa e construir seu histórico de crédito.”
Foi na França, antes do GDPR, e ela tinha acesso à localização dos usuários por meio de parcerias com vários apps, como apps de clima
Não lembro exatamente o tamanho da base, mas era uma grande parcela da população francesa
Mostraram um mapa de Paris e exibiram qual rota um usuário específico tomou depois de sair de casa, quanto tempo ficou parado em frente a uma loja e quanto tempo passou dentro de outra
Na época, meu chefe achou aquilo extremamente empolgante
Finalmente. Todo mundo “sabe” que empresas literalmente colocam o lucro acima de tudo
É bom ver a FTC de volta, e parece que só há progresso significativo quando existe regulação forte
Outro exemplo representativo é a EPA. Antes de a regulação e a fiscalização se estabelecerem, a poluição era tão grave que, em algumas cidades, as pessoas precisavam usar máscaras de gás ao ar livre; as emissões de CFC seguiram um padrão parecido
O desenvolvimento da internet acelerou principalmente sob lideranças conservadoras que reverteram regulações e, embora tenha havido muita inovação nesse período, acho que poderíamos ter alcançado muito mais se tudo não estivesse tão concentrado nesse ambiente de lucro em primeiro lugar
Elas não se recusam a trabalhar nesse tipo de empresa e ganham muito dinheiro implementando esses sistemas
Não há como ser uma solução fácil ou rápida; o público precisa se envolver mais para que as leis e regulações necessárias sejam aprovadas
Existe algum exemplo igualmente concreto de dano causado pela falta de regulação da coleta de dados?
Às vezes é realmente inacreditável ver pessoas argumentando, com seriedade, que “não há necessidade de impedir isso”
Há um link para o relatório no começo do artigo:
https://www.ftc.gov/news-events/news/press-releases/2024/09/...
https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...
Edit: adicionado link do PDF
É curioso que elas consigam segmentar grupos de anúncios com precisão por todo tipo de interesse e contexto detalhado, mas ainda não tenham aperfeiçoado a tecnologia para determinar se alguém é criança
Certamente deve ser uma tecnologia muito elusive que elas vêm tentando implementar dia e noite há anos
Quase parece que lucram ao fingir que não sabem
Fizemos uma investigação de 4 anos para nos dizer o que já sabíamos
A verdadeira pergunta é o que o governo federal, ou qualquer um, vai fazer a respeito disso
Na pesquisa científica é a mesma coisa, então pode parecer desperdício de dinheiro
Mas, até fazer o trabalho de fato, você não sabe
Cientistas e servidores públicos não podem citar senso comum, e os detalhes importam mesmo quando a conclusão está correta
A escala importa, e o mecanismo de funcionamento importa
Porque o próprio governo quer fazer a vigilância que não pode fazer diretamente por lei
Se a vigilância corporativa existe, o governo também pode usá-la, então isso também o beneficia
O que eu realmente espero é algo como limitar a vigilância extremamente invasiva a empresas controladas domesticamente
De forma alguma é apenas “nos dizer o que já sabemos”
Esta investigação é um primeiro passo importante para o governo ter certeza do que está acontecendo antes de exercer o poder estatal, e isso é bom
O exercício do poder estatal com base em clima ou rumores não é desejável
A FTC de Biden tem sido bastante agressiva contra várias práticas anticonsumidor em toda a economia, e esse tipo de relatório tende a ser seguido por ações desse tipo
Acho que veremos alguma ação em relativamente pouco tempo
As informações armazenadas por agências de crédito e bancos são muito mais assustadoras
Elas sabem o salário de todos os lugares onde você trabalhou e onde morou
Com tantos vazamentos recentes, agora qualquer pessoa pode encontrar esse tipo de informação na dark web
Esse cavalo já saiu do estábulo há mais de 10 anos
Antes eu trabalhava com segurança e proteção de privacidade tentando reduzir os riscos da distopia cyberpunk corporativa que se aproximava, mas hoje vejo como pior resultado o governo ter o monopólio da vigilância
A verdadeira solução é tornar certas categorias de dados pessoais legalmente privilegiadas ou inadmissíveis em processos civis e criminais não violentos, dependendo de como foram coletadas, e exigir que as fontes de coleta de informações de identificação pessoal relevantes para decisões comerciais sejam divulgadas em propostas e contratos
Assim, seguradoras e credores deveriam voltar a assumir riscos reais, em vez de agir como rentistas, e a polícia deveria ser servidora pública, não governante; além disso, deveria provar que a fonte dos dados pessoais usados como prova era uma fonte legal e regulamentada, incluindo consentimento explícito
Não dá para bloquear o fluxo da coleta de dados, mas dá para melhorar as leis que o governam
Se simplesmente proibirmos a coleta de dados pessoais, isso pode se aplicar tanto ao Estado quanto aos anunciantes
Informação é poder, e se seguradoras e produtores sabem tudo sobre você, você acaba sendo espremido como uma vítima pobre
Em dias ruins, às vezes acredito que pessoas que compartilham informações demais atraíram esse destino para si mesmas, mas há poucos argumentos contra regular a coleta de informações ou impor uma responsabilização forte, com penalidades financeiras severas em caso de vazamento
A regulação em si não seria difícil. A fiscalização não seria fácil, mas para muitas empresas o risco poderia ser grande demais até para tentar
Passei a considerar o setor de publicidade algo muito pior que o complexo industrial-militar, e espero que algum dia um poder superior puna os executivos envolvidos com grande vingança e fúria furiosa
Acho hipócrita o Estado regular a vigilância de empresas privadas
Você tem a opção de não usar as tecnologias de coleta de dados dessas empresas, mas não pode recusar a vigilância estatal
Não vamos jogar esse jogo de colocar o Estado como o lado bom e as empresas como o lado ruim
Claro que, independentemente disso, o Estado também não deveria coletar essas informações
Detetives particulares privados só oferecem um lamaçal publicitário sem fim, e isso me esgota todos os dias
Também não vamos jogar esse jogo de colocar as empresas como espectadoras inocentes e o Estado como adversário maligno
Não estamos presos no escuro
Não estamos em 2016; se você usa essas empresas, sabe muito bem o que elas fazem
Cresça, assuma a responsabilidade por usar esses serviços ou apague seus dados e vá embora
Não tenho nenhuma simpatia por quem fica chocado com isso em 2024
E você não é dono dos seus dados
Essa ideia em si já é um absurdo sem sentido
Aceitar isso torna a vida muito mais simples
Se você quer crescimento das ações e empregos em tecnologia, isso faz parte do acordo
Eu não criei isso e não é minha responsabilidade, mas essa é a realidade
Com isso, a precificação global ideal vai virar uma loucura
Tudo será precificado pelo valor máximo que cada pessoa pode pagar, mas as pessoas vão consumir muito menos e ficar mais miseráveis, então o sistema inteiro vai entrar em colapso