Tribunal decide que Meta acessou dados de saúde feminina no app Flo sem consentimento

 (malwarebytes.com)
1 pontos por GN⁺ 2025-08-15 | 1 comentários | Compartilhar no WhatsApp
  • A Meta foi considerada pela Justiça responsável por coletar dados sensíveis sem o consentimento das usuárias do app de monitoramento de saúde menstrual Flo Health
  • O Flo Health coletava dados extremamente pessoais das usuárias, como ciclo menstrual, humor e informações sobre vida sexual, e os compartilhou com vários terceiros, incluindo Facebook e Google, entre 2016 e 2019
  • O Flo Health prometia às usuárias privacidade e não compartilhamento de dados, mas, na prática, permitia que terceiros usassem essas informações livremente para outros fins
  • Diante disso, a Comissão Federal de Comércio dos EUA (FTC) ordenou uma investigação dos fatos e melhorias nas políticas do Flo Health; Flo Health e Google já haviam chegado a um acordo, mas a Meta não fez acordo até o fim
  • Em meio ao debate recente sobre o direito ao aborto nos EUA, os riscos à privacidade dos dados de saúde feminina ganharam ainda mais destaque

Visão geral do caso em que a Meta coletou sem autorização dados de usuárias do app Flo Health

  • Um júri nos Estados Unidos decidiu que a Meta coletou, sem consentimento, informações sensíveis de saúde reprodutiva de usuárias por meio do app de acompanhamento de saúde feminina Flo Health
  • O Flo Health, criado em Belarus em 2015, é um aplicativo projetado para rastrear dados extremamente detalhados e pessoais sobre menstruação e estado de saúde das mulheres, sendo usado por mais de 150 milhões de pessoas no mundo

Como o Flo Health coletava e compartilhava dados

  • As usuárias do Flo Health respondiam regularmente a perguntas extremamente íntimas sobre datas da menstruação, mudanças de humor, métodos contraceptivos, satisfação sexual e planos de gravidez
  • O app prometia explicitamente que não compartilharia os dados inseridos pelas usuárias com terceiros e que forneceria apenas parte das informações a empresas relacionadas quando necessário para prestar o serviço
  • No entanto, entre 2016 e 2019, o Flo Health forneceu amplamente essas informações pessoais a Facebook (hoje Meta), Google, AppsFlyer e Flurry
    • A cada abertura do app, ficava registrado um histórico de acesso, e toda atividade realizada no app era registrada e enviada para fora
    • Esses terceiros podiam usar as informações também para finalidades diferentes da prestação do serviço

Problemas de política e confiança no Flo Health

  • O Flo Health prometia confiança e proteção da privacidade às usuárias, mas, na prática, não havia qualquer limitação ou diretriz sobre o uso de dados por terceiros
  • Pelos termos de uso do app, parceiros externos podiam usar livremente parte dos dados das usuárias do Flo Health
  • Em 2020, o Flo Health afirmava a seus 150 milhões de usuários que “a proteção dos dados pessoais é a maior prioridade”, reforçando uma relação de confiança
Publicidade

Responsabilidade legal e medidas da FTC

  • A usuária Erica Frasco entrou com uma ação coletiva em 2021 contra o Flo Health e empresas associadas, especialmente a Meta
    • Os principais pontos da ação incluem violação de privacidade, quebra de contrato, enriquecimento ilícito e violação de lei sobre informações médicas
    • A ação pede indenização às vítimas e devolução de ganhos indevidos
  • Flo Health e Google já chegaram a acordo com a autora, mas a Meta seguiu litigando até o fim
  • O júri reconheceu que a Meta interceptou ou gravou conversas por meio de dispositivos eletrônicos e agiu sem o consentimento das usuárias

Contexto social e implicações do caso

  • A Comissão Federal de Comércio dos EUA (FTC) determinou ao Flo Health medidas corretivas, incluindo auditoria externa das políticas e proibição de uso indevido de dados pessoais
  • Depois que a Suprema Corte dos EUA revogou o direito ao aborto em 2022, a privacidade dos dados de saúde feminina passou a ser um tema ainda mais sensível
  • A Meta também foi alvo de nova controvérsia ao cooperar, em 2022, com uma investigação policial e fornecer dados de mensagens relacionadas a aborto entre uma mulher e suas duas filhas
  • Segundo reportagem da ProPublica, farmácias online também compartilham informações sensíveis com empresas como o Google, o que cria o risco de uso desses dados como prova legal

Conclusão e alerta de segurança

  • Muitas usuárias confiavam no Flo Health, mas, depois que as práticas reais de tratamento de dados vieram à tona, a perda de confiança se aprofundou
  • O caso vai além da simples recomendação de evitar o uso do app e chama atenção para os problemas de privacidade de dados de saúde pessoais e confiabilidade tecnológica como um todo
  • A tecnologia oferece conveniência, mas o uso indevido de dados pode gerar riscos concretos às usuárias

Leituras relacionadas

1 comentários

 
GN⁺ 2025-08-15
Comentários do Hacker News

  • Não sou fã da empresa Facebook em si, mas acho que esta decisão chegou à conclusão errada. Pelo conteúdo da petição, a parte de “interceptou ou gravou usando dispositivo eletrônico” na prática significava que “o Flo enviou eventos personalizados usando o Facebook SDK”. O Flo merece críticas por ter enviado esse tipo de informação ao Facebook, mas concluir que o Facebook “interceptou intencionalmente” não faz o menor sentido. Na minha visão, o Flo enviou voluntariamente os dados menstruais ao Facebook sem sequer ser solicitado, e o Facebook inclusive tinha uma política que proibia o envio de informações sensíveis via SDK. Processar o Facebook por isso é a mesma lógica de processar o Google porque algum médico armazenou dados de pacientes no Google Drive

    • Documento do processo relacionado

    • Documento de política do Facebook SDK página 6, linha 1

    • Tomando [1] como referência, no início o único réu era o Flo, então é natural que não houvesse alegações contra o Facebook. Porém, a petição alterada (3) passou a incluir novas alegações contra o Facebook. Segundo a petição alterada, o problema apontado é que o Facebook continuou com essa conduta até 2021, mesmo depois de o fato ter se tornado público em 2019; e, mesmo após o Flo ser obrigado a parar pela FTC e até depois de começar uma investigação do Congresso, o Facebook não revisou nem descartou os dados que já havia coletado indevidamente. Também é de se esperar que, no processo de discovery, tenham surgido evidências mais concretas sobre quanto e que tipo de dado o Facebook sabia que estava recebendo

    • Isso é só uma parte da história. Se o Facebook tivesse apenas armazenado os dados enviados pelo Flo ou usado essas informações apenas em nome do Flo, a situação seria diferente. O problema é que o Facebook usou esses dados médicos para fins publicitários e nem sequer verificou por conta própria se podia usá-los legalmente. Havia o dever de fazer essa verificação, e foi por não seguir esse procedimento que saiu a condenação

    • É claro que o Flo errou ao enviar esses dados ao Facebook. Por isso o Flo fez acordo no processo. Mas o Facebook, depois de receber essas informações, não apenas as acumulou ou ignorou; ele as combinou com outros sinais seus e as utilizou. Esse ponto estava no centro da petição contra o Facebook

    • Acho que existe responsabilidade de verificar se os dados são legítimos. Assim como você não compra mercadoria roubada, a Meta também deve tomar cuidado para não fazer parceria com criminosos. A maior culpa é do Flo, mas a Meta também precisa mostrar que tomou as devidas precauções. Não dá para escapar da responsabilidade só com termos de uso; o importante é garantir que o usuário realmente entenda aquilo

    • Em casos assim, decisão de juiz é muito melhor do que júri. É difícil para jurados comuns entenderem direito detalhes técnicos como SDK, compartilhamento de dados e API. Já em litígios técnicos de alto nível, juízes muitas vezes se esforçam para aprender engenharia e discutir o tema com profundidade

  • Toda vez que vejo alguém enfrentar o Facebook no tribunal, a imagem que me vem à cabeça é a de um ratinho partindo para cima de um urso-polar. Ou então um goblin contra um dragão, uma mosca contra um elefante. Essas big techs são quase monstros fora de controle da lei. A única hora em que parecem sentir estresse de verdade é quando correm risco de perder participação de mercado ou de serem bloqueadas em alguma região

    • Ouvindo isso, alguém pode entender errado, mas na verdade essas big techs não estão fora da lei, e sim dentro dela. Isso porque, com dinheiro e influência, conseguem ajustar os próprios limites da lei ao seu gosto. Por mais alto que seja o clamor sobre como a lei deveria ser aplicada, enquanto conseguirem bancar o custo, isso entra no escopo do “legal” para elas

    • O que mais me deprime é que quase todas as pessoas que conheço se preocupam com esses problemas de privacidade e mesmo assim continuam mantendo contas na Meta. Usar porque, nos seus próprios critérios, não há grande problema, tudo bem. É humano cometer contradições. Mas é realmente estranho ser rigoroso com as próprias crenças e, ao mesmo tempo, estranhamente flexível ao julgar as dos outros. Eu gosto das pessoas, mas às vezes elas são difíceis de entender

    • No fim, bastaria aplicar uma multa de três dígitos por vítima para colocar uma pressão enorme no Facebook

    • Todo mundo culpa só o Facebook, mas não parece haver o mesmo nível de crítica a legisladores ou tribunais. Na prática, se por esse tipo de coisa saíssem multas na casa dos bilhões, a ponto de o governo ter de leiloar tudo nos escritórios do Facebook — servidores, cadeiras, projetores, tudo — para levantar dinheiro, outras empresas rapidamente parariam com práticas ilegais e mudariam de postura

  • Parece que pouca gente leu a matéria direito. Quem realmente fez a coisa errada foi o app Flo. O problema foi que os desenvolvedores do app enviaram informações dos usuários para a Meta sem qualquer limitação. Independentemente do que diga a sentença, o erro real é do Flo

    • O Flo errou ao enviar informações sensíveis para um banco de dados online. A Meta também errou ao fornecer a infraestrutura desse banco de dados de informações pessoais. Ambos fizeram algo moralmente condenável

    • Como a Meta recebia essas informações sem restrição, é óbvio que a Meta teria acesso a elas. Se ela não tinha autorização para usar os dados, o normal seria exigir antes uma permissão explícita. O problema é essa realidade em que a Meta acessa isso sem consentimento prévio

  • Há cinco anos, ao investigar o ecossistema de apps iOS, procurei entender as possíveis fontes de receita dos apps gratuitos. Um desenvolvedor lançou um app gratuito para rastrear dados de saúde infantil e via esses dados como o próprio valor do app. Ele demonstrava confiança de que a lucratividade futura do app viria, no fim das contas, da venda dos dados. Depois disso, consolidou-se para mim a ideia de nunca usar apps que armazenem meus dados pessoais — especialmente dados de saúde — e de desativar todas as permissões de app sempre que possível

    • Sinceramente, não entendo por que alguém entrega seus dados pessoais ou de saúde a empresas psicopatas como essas. O pano de fundo de usar apps para registrar dados de saúde ou wearables me deixa inquieto. Pensando no histórico dessas empresas, temos de presumir que vão registrar cada detalhe, vender isso e armazenar para sempre

  • No fim, a resposta é não usar apps. Em 95% dos casos, eles não oferecem valor suficiente para justificar a invasão de privacidade que exigem

    • A Mozilla tem um material comparando apps de registro menstrual. Alguns deles tentam proteger a privacidade do usuário

    • Se um software realmente precisa de conexão com a internet, acho que o desenvolvedor deveria primeiro provar o motivo e a justificativa disso

    • Não entendo muito do assunto, mas fico pensando se simplesmente desativar permissões como localização já não resolveria esse problema

    • Infelizmente, essa é a realidade

    • É verdade. Os usuários sempre caem do mesmo jeito no marketing de “novo recurso grátis!”. Como resultado, modelos de negócio invasivos continuam funcionando repetidamente

  • Um app que eu recomendaria para mulheres é o Drip.

    • Site oficial do Drip

    • Parece ser o mais seguro

    • Na verdade, acho que o melhor seria hospedar isso eu mesmo e administrar diretamente. É um tipo de dado que eu não gostaria de confiar a ninguém. Só para constar, eu não faço sexo com homens, mas ainda assim isso me preocupa

  • Minha esposa usa o Flo. Sempre que ela abre o app e insere informações, do ponto de vista técnico isso me parece extremamente arriscado. Como esses apps lidam com informações realmente sensíveis, sinto ainda mais a necessidade de conscientizar pessoas não técnicas sobre a importância da segurança da informação

  • Foi por isso que passei a seguir a política de quase não instalar apps no celular, ou usar o mínimo possível. Claro, sites e webapps também podem compartilhar informações de forma parecida, mas existe um certo alívio psicológico em reduzir o acesso do sistema por padrão. Pessoalmente, vendo vários comportamentos que o LinkedIn demonstrou ao longo do tempo, ainda me surpreende que ele continue vivo na app store

  • É difícil encontrar notícias sobre privacidade em que a Meta não esteja envolvida

    • Acho que Google, Microsoft e Amazon também ficam felizes com essa situação

  • Só vai mudar de verdade quando executivos no nível de VP forem para a cadeia. Claro, na prática isso é quase impossível