O que realmente significa quando uma empresa diz: “Nós não vendemos seus dados”?
Especialistas dizem que a promessa de privacidade – onipresente no mundo online serviços e aplicativos — obscurece a verdade sobre como as empresas usam dados pessoais
Por: Alfred Ng
Você provavelmente já se deparou com essa reivindicação de gigantes da tecnologia antes: “Nós não vendemos seus dados pessoais.”
Empresas do Facebook ao Google e ao Twitter repetem versões desta declaração em suas políticas de privacidade, declarações públicas e depoimentos no Congresso. E, quando interpretada literalmente, a promessa é verdadeira: apesar de reunir grandes quantidades de dados pessoais de seus usuários e converter esses dados em bilhões de dólares em lucros, esses gigantes da tecnologia não vendem diretamente as informações de seus usuários da mesma forma que os corretores de dados vendem dados diretamente. em massa para os anunciantes. Mas as isenções de responsabilidade também são uma distração de todas as outras maneiras pelas quais os gigantes da tecnologia usam dados pessoais para obter lucro e, no processo, colocam em risco a privacidade dos usuários , especialistas falam. Legisladores, organizações de vigilância e defensores da privacidade apontaram maneiras pelas quais os anunciantes ainda podem pagar pelo acesso a dados de empresas como Facebook, Google e Twitter sem comprá-lo diretamente. (O porta-voz do Facebook Emil Vazquez se recusou a comentar e a porta-voz do Twitter Laura Pacas nos encaminhou para a política de privacidade do Twitter. O Google não respondeu aos pedidos de comentários.) E focar no termo “vender” é essencialmente um truque de mão de gigantes da tecnologia, disse Ari Ezra Waldman, professor de direito e ciência da computação da Northeastern University. “ dizer que não vendem dados para terceiros é como uma empresa de iogurte dizer que não contém glúten. O iogurte é naturalmente sem glúten”, disse Waldman. “É um desvio de direção de todas as outras formas que podem ser mais sutis, mas ainda são profundas e profundas invasões de privacidade.”
Essas outras formas incluem tudo, desde dados coletados de fluxos de lances em tempo real (mais sobre isso depois), para anúncios direcionados direcionando tráfego para sites que coletam dados, para empresas que usam os dados internamente.
Como meus dados estão em risco se não estiverem sendo vendidos?
Mesmo que empresas como Facebook e Google não estejam vendendo seus dados diretamente, eles os estão usando para publicidade direcionada, o que cria muitas oportunidades para os anunciantes pagarem e obterem seus dados informações pessoais em troca.
A maneira mais simples é através de um anúncio que liga a um site com seus próprios rastreadores incorporados, que podem coletar informações sobre os visitantes, incluindo seus Endereço IP e seus IDs de dispositivo.
As empresas de publicidade são rápidas em apontar que vendem anúncios, não dados, mas não divulgam que clicar nesses anúncios geralmente resulta em um site coletando dados pessoais. Em outras palavras, você pode facilmente fornecer suas informações para empresas que pagaram para exibir um anúncio na sua frente.
Se o anúncio for direcionado para um determinado grupo demográfico, os anunciantes também seriam capazes de inferir informações pessoais sobre os visitantes que vieram desse anúncio, disse Bennett Cyphers, tecnólogo da equipe da Electronic Frontier Foundation.
Por exemplo, se houver um anúncio direcionado a gestantes no Facebook, o anunciante pode inferir que todos que vieram desse link são alguém que o Facebook acredita estar esperando uma criança. Quando uma pessoa clica nesse link, o site pode coletar IDs de dispositivo e um endereço IP, que pode ser usado para identificar uma pessoa. Informações pessoais como “pai esperando” podem ser associadas a esse endereço IP.
“Você pode dizer: ‘Ei, Google, quero uma lista de pessoas de 18 a 35 anos que assistiram ao Super Bowl no ano passado.’ Eles não lhe darão essa lista, mas permitirão que você veicule anúncios para todas essas pessoas”, disse Cyphers. “Algumas dessas pessoas vão clicar nesses anúncios, e você pode facilmente descobrir quem são essas pessoas. Você pode comprar dados, de certa forma, dessa maneira.”
Depois, há a maneira complicada, mas muito mais comum, de os anunciantes pagarem por dados sem que sejam considerados uma venda, por meio de um processo conhecido como ” licitação.”
Muitas vezes, quando um anúncio aparece na tela, ele ainda não estava lá esperando você aparecer. Os leilões digitais estão acontecendo em milissegundos antes do carregamento dos anúncios, onde os sites estão vendendo imóveis na tela para o maior lance em um processo automatizado.
Visitar uma página inicia um processo de licitação em que centenas de anunciantes recebem simultaneamente dados como endereço IP, ID do dispositivo, interesses do visitante, dados demográficos, e localização. Os anunciantes usam esses dados para determinar quanto gostariam de pagar para exibir um anúncio a esse visitante, mas mesmo que não façam o lance vencedor, já capturaram o que pode ser uma grande quantidade de informações pessoais.
Com os anúncios do Google, por exemplo, o Google Ad Exchange envia dados associados à sua conta do Google durante esse processo de leilão de anúncios, que pode incluir informações como sua idade , localização e interesses.
Os anunciantes não estão pagando por esses dados, per se; eles estão pagando pelo direito de exibir um anúncio em uma página que você visitou. Mas eles ainda obtêm os dados como parte do processo de licitação, e alguns anunciantes compilam essas informações e as vendem, disseram os defensores da privacidade. grupo de usuários do Google entrou com uma ação coletiva federal contra o Google no Tribunal Distrital dos EUA para o Distrito Norte da Califórnia, alegando que a empresa está violando suas alegações de não vender informações pessoais ao operar seu serviço de lances em tempo real.
O processo argumenta que, embora o Google não estivesse entregando diretamente seus dados pessoais em troca de dinheiro, seus serviços de publicidade permitiram que centenas de terceiros essencialmente pagassem e tivessem acesso a informações em milhões de pessoas. O caso está em andamento. “Nunca vendemos informações pessoais de pessoas e temos políticas rígidas que proíbem especificamente anúncios personalizados com base em categorias sensíveis”, disse o porta-voz do Google, José Castañeda, ao San Francisco Chronicle em maio. A licitação em tempo real também atraiu o escrutínio de legisladores e organizações de vigilância por suas implicações de privacidade.
Em janeiro, Simon McDougall, vice-comissário do Gabinete do Comissário de Informação do Reino Unido, anunciou em comunicado que a agência continuava sua investigação de licitação em tempo real (RTB), que, se não divulgada adequadamente, pode violar o Regulamento Geral de Proteção de Dados da União Européia.
“O complexo sistema de RTB pode usar dados pessoais sensíveis das pessoas para veicular anúncios e requer o consentimento explícito das pessoas, que é não está acontecendo agora”, disse McDougall. “Compartilhar dados de pessoas com potencialmente centenas de empresas, sem avaliar e abordar adequadamente o risco dessas contrapartes, também levanta questões sobre a segurança e retenção desses dados.”
E em abril, um grupo bipartidário de senadores dos EUA enviou uma carta a empresas de tecnologia de anúncios envolvidas em licitações em tempo real, incluindo o Google. Sua principal preocupação: empresas e governos estrangeiros potencialmente capturando grandes quantidades de dados pessoais sobre americanos.
“Poucos americanos percebem que alguns participantes do leilão estão desviando e armazenando dados de ‘bidstream’ para compilar dossiês exaustivos sobre eles”, dizia a carta. “Por sua vez, esses dossiês estão sendo vendidos abertamente para qualquer pessoa com cartão de crédito, inclusive para fundos de hedge, campanhas políticas e até mesmo para governos.” Em 4 de maio, o Google respondeu à carta, informando aos legisladores que não compartilha informações de identificação pessoal em solicitações de lances e não compartilha informações demográficas durante o processo.
“Nunca vendemos informações pessoais de pessoas e todos os compradores de anúncios que usam nossos sistemas estão sujeitos a políticas e padrões rigorosos, incluindo restrições ao uso e retenção das informações que recebem”, disse Mark Isakowitz, vice-presidente de assuntos governamentais e políticas públicas do Google, na carta.
O que significa “vender” dados?
Defensores têm tentado para expandir a definição de “vender” além de uma transação simples.
A Lei de Privacidade do Consumidor da Califórnia, que entrou em vigor em janeiro de 2020, tentou lançar uma ampla rede ao definir “venda”, além de apenas trocar dados por dinheiro. A lei considera uma venda se as informações pessoais forem vendidas, alugadas, divulgadas, compartilhadas, transferidas ou comunicadas (oralmente ou por escrito) de uma empresa para outra por “contraprestação monetária ou outra valiosa”. E as empresas que vendem esses dados são obrigadas a divulgar que estão fazendo isso e permitir que os consumidores optem por não participar.
“Escrevemos a lei tentando refletir como a economia de dados realmente funciona, onde na maioria das vezes, a menos que você seja um corretor de dados, você’ não estamos realmente vendendo as informações pessoais de uma pessoa”, disse Mary Stone Ross, diretora de privacidade da OSOM Products e coautora da lei. “Mas você essencialmente é. Se você é uma empresa de mídia social e está fornecendo publicidade e as pessoas lhe pagam muito dinheiro, você está vendendo o acesso a elas.”
Mas isso não significa que seja sempre óbvio que tipos de dados pessoais uma empresa coleta e vende.
Na política de privacidade da T-Mobile, por exemplo, a empresa diz que vende dados compilados em massa, que chama de “segmentos de público”. A política afirma que os dados do segmento de público-alvo à venda não contêm identificadores como seu nome e endereço, mas incluem seu ID de publicidade para dispositivos móveis. Os IDs de publicidade móvel podem ser facilmente conectados a indivíduos por meio de empresas terceirizadas. No entanto, a política de privacidade da T-Mobile diz que a empresa “não vende informações que identifiquem diretamente os clientes.”
O porta-voz da T-Mobile, Taylor Prewitt, não respondeu por que a empresa não considera os IDs de publicidade como informações pessoais, mas disse que os clientes têm o direito de optar por não vender esses dados.
Então, o que devo fazer? Procurar em uma Política de Privacidade?
Da próxima vez que você olhar para uma política de privacidade, o que poucas pessoas realmente fazem, não se concentre apenas se a empresa diz que vende seus dados ou não. Essa não é necessariamente a melhor maneira de avaliar como suas informações estão viajando e sendo usadas.
E mesmo que uma política de privacidade diga que não compartilha informações privadas além dos muros da empresa, os dados coletados ainda podem ser usados para fins que você possa achar desconfortável, como treinar algoritmos internos e modelos de aprendizado de máquina. (Veja o uso do Facebook de um bilhão de fotos do Instagram, de sua propriedade, para melhorar sua capacidade de reconhecimento de imagem.) Os consumidores devem procurar políticas de exclusão e retenção em vez disso, disse Lindsey Barrett, especialista em privacidade e até recentemente membro da Georgetown Law. Essas são políticas que explicam por quanto tempo as empresas mantêm os dados e como removê-los. Ela observou que essas declarações têm muito mais peso do que as empresas que prometem não vender seus dados.
“As pessoas não têm nenhuma transparência significativa sobre o que as empresas estão fazendo com seus dados e, muitas vezes, há poucos limites sobre o que podem fazer com isso”, disse Barrett. “O todo ‘Nós não vendemos seus dados’ não diz nada sobre o que a empresa está fazendo a portas fechadas.”
Este artigo foi publicado originalmente no The Markup e republicado sob a licença Creative Commons Attribution-NonCommercial-NoDerivatives.
O que você acha da linha, “nós não vendemos seus dados?” Por favor, compartilhe seus pensamentos em qualquer uma das páginas de mídia social listadas abaixo. Você também pode comentar em nossa página MeWe b y ingressando na rede social MeWe. Certifique-se de se inscrever também em nosso canal RUMBLE!
