.
Um depoimento em vídeo lançado recentemente em um processo de longa duração sobre o rastreamento de seus usuários pelo Google alegou que mesmo o CEO Sundar Pichai não tem certeza do que está acontecendo abaixo dele.
Nos últimos três anos, o Google tem lutado contra um processo que alega que a empresa possui um menu enganoso que promete privacidade, mas não a fornece.
É tudo uma questão de uma configuração chamada Atividade na Web e de aplicativos (WAA) e um subconjunto conhecido como sWAA que estende a suposta proteção de privacidade para “incluir o histórico do Chrome e a atividade de sites, aplicativos e dispositivos que usam os serviços do Google”. O botão de menu relevante está disponível através de um Contas do Google página da Internet.
Quando ativado, conforme descrito atualmente, o botão WAA “salva sua atividade em sites e aplicativos do Google, incluindo informações associadas como localização” para personalizar pesquisas, recomendações e outros serviços do Google. Mas quando está desligado, o Google ainda salva os dados das pessoas, ou pelo menos é o que alega na reclamação apresentada em julho de 2020, e alterada pela quarta vez em janeiro de 2023.
“O Google prometeu que, ao desativar esse recurso, os usuários impediriam o Google de salvar seus dados de atividades na web e de aplicativos, incluindo seus históricos de navegação em aplicativos”, disse o comunicado. quarta reclamação alterada [PDF] diz. “A promessa do Google era falsa.”
Jonathan Hochman, perito dos demandantes, forneceu uma análise técnica da coleta de dados do Google, mas seu relatório permanece sob selo. Como é comum nesses casos, o Google pressionou para que documentos confidenciais obtidos durante o processo de descoberta fossem editados ou lacrados. Isso se tornou um problema no julgamento antitruste em curso do governo dos EUA contra o Google, onde muitos dos testemunhos e muitos dos documentos foram ocultados do público.
No entanto, uma transcrição do vídeo de Hochman deposição [PDF] postado na pauta do tribunal lança mais luz sobre as reivindicações. “… o switch WAA/sWAA, eu o chamei de controle falso, porque ele não funciona – tecnicamente não faz o que parece que deveria fazer”, explicou ele.
Hochman, em seu depoimento, afirma que mesmo os membros do Google, incluindo o CEO da Alphabet, Sundar Pichai, entendem mal o controle da WAA.
“Parece que até Sundar Pichai está confuso sobre como funciona esse controle porque testemunhou perante o Congresso e disse-lhes algo que está errado do ponto de vista técnico…”, disse ele.
Isto é explicado mais explicitamente em um artigo mais recente arquivamento judicial [PDF]: “Por exemplo, o CEO do Google, Sundar Pichai, testemunhou ao Congresso que, em ‘Minha conta’, o usuário pode ‘ver claramente quais informações são coletadas e armazenadas’. Essa suposta ‘alternância clara’ a que o Sr. Pichai estava se referindo só poderia ser WAA.”
Esse documento prossegue afirmando: “Ao contrário do depoimento do Sr. Pichai no Congresso, o fundador do Escritório de Privacidade e Proteção de Dados do Google testemunhou neste caso que ele ‘não está ciente de qualquer configuração’ que os usuários possam empregar para impedir o Google de coletar dados relacionados a sua atividade no aplicativo.”
Grande parte do problema, supostamente, é que o WAA, em vez de salvar os dados quando ativado e não salvá-los quando desativado, simplesmente salva os dados em um local diferente – não no conjunto de dados da Conta do Google. Abordando a confusão sobre os limites das Contas do Google, Hochman disse: “Portanto, estou ciente de que o Google pode salvar dados em locais diferentes, dependendo de onde a chave WAA/sWAA está definida. , mas pode salvá-lo em lugares diferentes.”
Firebase queima através de firewall pessoal
A reclamação alega que o Google ainda coleta dados de usuários que desabilitam a configuração WAA “através de vários backdoors disponibilizados através e em conexão com o Firebase Software Development Kit do Google, incluindo não apenas o Google Analytics para Firebase, mas também, sem limitação, AdMob e Cloud Messaging para Firebase. “
Firebase, um banco de dados em nuvem, foi adquirido pelo Google em 2014 e, em 2021, estaria incorporado em três milhões de aplicativos móveis. Fabricantes de aplicativos terceirizados podem integrar o Firebase usando o Firebase Software Development Kit, que adiciona suporte para Google Analytics para Firebase, bem como serviço de anúncios móveis AdMob e Cloud Messaging para Firebase.
Alega-se que o Google coleta dados de aplicativos móveis de terceiros, mesmo aqueles que desativam o WAA, usando o código SDK do Firebase, bem como o SDK de anúncios para celular do Google, o SDK da AdMob + e as tecnologias “WebView” do navegador.
“Todos esses produtos copiam e fornecem secretamente ao Google dados de atividade de aplicativos enquanto o WAA está desligado, incluindo dados de navegação pessoal”, afirma a reclamação.
A reclamação cita declarações dos próprios funcionários do Google que sugerem que o WAA é confuso e mal compreendido.
Citando provas específicas do caso, a denúncia diz: “Os funcionários do Google reconhecem, internamente e sem divulgar isso publicamente, que o WAA é ‘não claro para os usuários’, ‘nebuloso’, ‘não bem compreendido’, ‘completamente quebrado’ e ‘ confunde os usuários’, onde as pessoas ‘não sabem o que WAA significa’ e a promessa de controle do Google ‘simplesmente não é verdade’.”
A reclamação cita a comunicação interna do Google sobre a verdadeira natureza do controle WAA: “Conforme resumido por um funcionário do Google em um e-mail interno, ‘WAA (ou qualquer outro controle) não controla realmente o que é armazenado pelo Google, mas simplesmente o que ao qual o usuário tem acesso. Isso é muito ruim. … Eu, pelo menos, não percebi que o Google realmente armazenava todas as minhas atividades, mesmo que esses controles estivessem desativados e eu trabalhasse no Google. Parece meio bobo desativá-los enquanto estou não é mais seguro com eles desligados do que ligados.’”
Uma paisagem orwelliana
A denúncia aponta que alegações relacionadas surgiram em recentes litígios governamentais contra o Google. Ele cita documentos produzidos pelo Google em um caso de 2020 movido pelo procurador-geral do Arizona que menciona o nome da atividade na Web e de aplicativos. Google assentou essa reivindicação no ano passado por US$ 85 milhões.
“Quando os usuários desativaram seu Histórico de localização nas configurações, o Google continuou a coletar clandestinamente sua localização por meio de outras configurações, como Atividade na Web e de aplicativos, e a empresa usou essas informações para vender anúncios”, disse o escritório da Arizona AG quando anunciado o acordo.
O Google se recusou a comentar, mas contestou muitas das alegações em seu responder [PDF] à quarta reclamação alterada.
A empresa em seus registros caracterizou as mensagens dos funcionários citadas como comunicações “escolhidas a dedo” que descaracterizam a tecnologia ou são tiradas do contexto. O Google afirma que a configuração sWAA, por meio da qual aplicativos de terceiros recebem dados, serve para que os desenvolvedores possam entender o comportamento do aplicativo e não seja salva nos perfis de marketing dos usuários do Google. Essencialmente, o Google afirma que qualquer coleta de dados é divulgada de forma adequada e que os desenvolvedores de aplicativos que implementam o Google Analytics estão sujeitos aos Termos de Serviço da empresa.
Coincidentemente, no início deste ano, o Google começou notificando alguns usuários de seus serviços informam que os aplicativos e atividades da Web estão ativados. A mensagem insiste: “Você está no controle” e insiste que nenhuma ação é necessária, mas permite que a configuração possa ser alterada.
Hochman, na sua avaliação da WAA, é implacável.
“A situação que encontrei na investigação técnica foi contra-intuitiva, não era o que eu esperava encontrar e é, francamente, meio orwelliano, é muito estranho que você tenha um botão de privacidade que quando você o liga, simplesmente significa que não dizemos que estamos espionando você”, disse ele.
“É quase como o slogan do partido de 1984, você sabe, ignorância é força, isso é o que é. Esse controle é isso. “
No entanto, ainda não foi decidido se o Google realmente violou alguma lei aqui. No ano passado, o juiz que julgou o caso demitido [PDF] alega que suposta violação da Lei de Invasão de Privacidade da Califórnia e quebra de contrato. O que resta são três reivindicações sob a Lei Abrangente de Fraude de Dados e Acesso de Computadores da Califórnia, invasão de privacidade e intrusão após reclusão. ®
.
