Ao analisar como quatro empresas atuantes no Brasil lidam com as informações dos clientes, pesquisa conclui: a Lei Geral de Proteção de Dados tem que valer já.

Entregadores e entregadoras de aplicativos estão cansades. E não é só porque o trabalho aumentou com a pandemia da Covid-19: com o isolamento, a exploração da mão de obra por parte de empresas como IFood, Uber Eats e Rappi se intensificou ainda mais, pois a remuneração caiu durante a pandemia, e não foi pela queda na procura do serviços, e sim pelo percentual retirado deles por essas plataformas. Nos últimos meses, vários deles passaram a se organizar e a trocar informações sobre as jornadas, a relação dos valores recebidos versus distâncias percorridas, e estão listando uma série de reivindicações que pretendem levar para as ruas no início de julho.

Há tempos questionadas pela exploração de mão-de-obra barata sem dar garantias de trabalho, de saúde e segurança adequadas, além de explorar trabalhadores, essas plataformas também exploram nossos dados pessoais. Para tentar entender até que ponto o uso desses dados é transparente e compatível com a legislação local, estamos lançando hoje a pesquisa: “Aplicação da Lei de Proteção de dados pessoais: um estudo de caso de empresas com modelo de negócios baseado em dados”. Realizada entre os meses de agosto e outubro de 2019, a pesquisa se dedica a analisar os termos de uso e políticas de privacidade de serviços de quatro empresas atuantes no território brasileiro (Amazon Prime Video, Ifood, e-commerce do Magalu e Social Miner).

[Baixe aqui o PDF da pesquisa completa em Português]

Se o uso de aplicativos para se divertir, comer, comprar, estudar, trabalhar, conversar, já era uma prática usual, com o isolamento ela se intensificou a ponto das empresas terem que rever suas atividades, cronogramas, aumentar a mão de obra no caso dos apps de entrega e, no caso das companhias de streaming, diminuir a qualidade dos vídeos para atender o aumento expressivo de público, por exemplo.

Ao mesmo tempo, tudo isso também significa que há mais dados do que nunca circulando por aí. Pensando nisso, perguntamos: será que ao prover todos esses serviços, as empresas estão observando e seguindo os princípios de privacidade e proteção de dados? Mas o que vimos é que abusos e incidentes com nossa privacidade tem sido muitos. Bem recentemente, por exemplo, o IFood expôs informações pessoais de clientes cadastrados, itens bastante sensíveis como endereço, e-mail, número de celular, CPF, quatro últimos dígitos do cartão de crédito, histórico de pedidos e chats realizados com o entregador.

A pesquisa lançada hoje é a versão em português dos estudos de caso brasileiros divulgados na pesquisa regional: “Festín de datos. Empresas y datos personales en América Latina”, coordenada pela ONG Colombiana Dejusticia.

No contexto regional, o país aparece mal em comparação com países vizinhos, pois, ao contrário de nuestros hermanos y hermanas, ainda não temos uma lei específica vigente. Em agosto de 2018 celebramos a aprovação da Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil. Ela serve para estabelecer novas regras para este setor, trazer segurança jurídica para os agentes e atividades de processamento de Dados Pessoais e garantir que os direitos dos cidadãos sejam respeitados. A partir desta data, foi determinado que instituições dos setores público e privado teriam dois anos para se adaptar à nova legislação até a entrada de sua vigência, em agosto de 2020. Porém, em abril de 2020 — ou seja, a poucos meses da LGPD entrar em vigência — o presidente Jair Bolsonaro editou a Medida Provisória 959, prorrogando para 3 de maio de 2021 a entrada em vigor da Lei. A MP ainda pode ser revogada, voltando a vigência para agosto.

Metodologia da Pesquisa

Com base na metodologia de análise comparativa desenvolvida para a pesquisa regional, foram analisados os termos de uso e políticas de privacidade (versões entre os meses de agosto e outubro de 2019) de quatro empresas com produtos dedicados ao público brasileiro e com as seguintes descrições: (a) Grande Empresa de Internet, (b) Empresa Intermediária de Internet, (c) Startup e (d) Empresa Estabelecida/Tradicional.

Dentre as empresas, as selecionadas foram a Amazon (Grande Empresa de Internet), mais especificamente o seu produto Amazon Prime Video, ofertado no Brasil em parceria com a Vivo; iFood (empresa intermediária), cujo número de downloads do aplicativo na época ultrapassava os 10 milhões, fator que demonstra o expoente crescimento da empresa brasileira de entrega de comida; a Social Miner, startup brasileira que trabalha no campo do marketing digital e tem figurado como uma das 100 startups para ficar de olho no Brasil; e, por fim, o Magazine Luiza foi selecionado como Empresa Estabelecida, surgida antes da Internet mas que foi uma das primeiras empresas no país a utilizar o conceito de lojas virtuais e por possuir uma estratégia digital que merece atenção.

Selecionadas as empresas, nos dedicamos a descrever um pouco como se deu o surgimento das organizações escolhidas, bem como o mercado para o qual atuam e serviços oferecidos. Neste primeiro momento logo foi possível averiguar, por exemplo, como a estratégia de marketing do Magazine Luiza foi se reinventando ao longo dos anos para poder atender mais adequadamente o mercado online. Também chamou a atenção o crescimento exponencial da iFood, empresa brasileira de delivery de comida que conta com mais de 600 mil pedidos por dia só no território brasileiro e que também está presente no México, Colômbia e Argentina.

Partindo para análise dos dispositivos de privacidade nos termos de uso dos produtos, a pesquisa se debruçou sobre quatro pontos principais: (a) Fonte dos dados coletados, (b) Práticas de tratamento dos dados, c) Finalidade do uso dos dados e (d) Relacionamento das empresas estudadas com as empresas do grupo GAFAM (Google, Apple, Facebook, Amazon e Microsoft).

Em relação às quatro empresas analisadas, a atual política de privacidade do iFood e do Magazine Luiza foram escritas antes da sanção da Lei Geral de Proteção de Dados e, portanto, não faz menção à legislação ou às obrigações da lei de forma direta. De igual forma, a Social Miners também não menciona a lei nacional, mas faz claras conexões com o regulamento europeu, afirmando estar de acordo com a norma europeia. No caso do Amazon Prime Video, até pouco tempo a empresa brasileira que propiciava o serviço era a Vivo. Quando iniciamos a pesquisa, ela havia inaugurado recentemente uma Central de Privacidade, que de certa forma se alinhava aos princípios da Lei Geral de Proteção de Dados. Ainda assim, a maior parte dos dados de utilização do serviço Amazon são regidos pelo Aviso de Privacidade da Amazon, que não só não menciona a lei brasileira, como estava disponível apenas em inglês (desde a conclusão da pesquisa a Amazon, inclusive apresentou versão atualizada do documento). Vale mencionar, também, que desde a conclusão do texto, o Amazon Prime Video deixou de ser ofertado com exclusividade pela Vivo no Brasil.

ANÁLISE DAS POLÍTICAS DE PRIVACIDADE E TERMOS DE USO: DESTAQUES

Com base na análise que realizamos nas políticas de privacidade e termos de uso das empresas pesquisadas, seguem apontamentos que avaliamos relevantes para o debate:

a) Finalidade, consentimento e compartilhamento com terceiros

_ Por vezes, o consentimento não é claro. Especialmente no caso da Social Miner, o consentimento para a coleta dos dados de navegação, amparados na coleta de cookies, ocorre com um aceite dos usuários nos sites de cada cliente da empresa a partir de notificações nos cantos superiores ou inferiores da tela. No entanto, não se sabe se há um padrão de texto informado aos usuários nos sites dos clientes ou se as notificações de rastreamento de cookies são específicas o suficiente para que o usuário compreenda que a coleta será usada não apenas para a melhora da navegação, mas também com fins de marketing digital.

_ Há grande dificuldade de se encontrar as políticas de privacidade que regem o Amazon Prime Video, se contratado via operadora de telefonia. Conforme o contrato com a Vivo, o serviço é regido por termos de uso de ambas as empresas. Mas os termos de uso para assinatura do Prime Video pelos clientes Vivo nada dispõem sobre proteção de dados daqueles que contrataram esse serviço, pois tratam apenas de formas de contratação, pagamento e cancelamento.

_ Quanto ao compartilhamento de dados com terceiros, o Aviso de Privacidade da Amazon anuncia que a “empresa não vende informações de seus clientes”, mas elenca atores com quem compartilha esses dados. Entre eles estão o que o Aviso de Privacidade denomina “affiliated business we do not control” (ou seja, negócios filiados dos quais não temos controle), sem deixar especificado quem seriam esses afiliados. O texto apenas remete a outro texto onde temos alguns exemplos de marcas, principalmente norte-americanas, como Starbucks, OfficeMax, Verizon Wireless, Sprint, T-Mobile, AT&T, J&R Electronics, Eddie Bauer and Northern Tool + Equipment. Pode-se aferir que a Vivo também entraria nessa categoria. Já o iFood diz que “integrantes do grupo food” e “provedores de serviços e outros parceiros” podem ter acesso a dados de clientes. A política é ampla e não deixa claro quais dados poderiam ser compartilhados, dando a entender, inclusive, que a empresa poderá terceirizar para subsidiárias os serviços do iFood e, consequentemente, sua base de usuários. O Magazine Luiza, por sua vez, possui uma política de privacidade relativamente omissa com relação à obtenção de consentimento dos usuários. O documento dispõe apenas sobre a utilização dos dados e uma posterior possibilidade do cliente realizar o descadastramento da base de dados de emails de marketing e não sobre a obtenção de autorização prévia, informada e consentida que oriente o tratamento dos dados.

b) Uso de cookies

_ Quanto aos cookies, a Social Miner é a única que possui uma política específica de cookies, algo esperado considerando que os serviços prestados pela start-up são altamente baseados no rastreamento de cookies para fins de campanha de marketing. Já o iFood chega a determinar que informações sobre as atividades dos usuários no website ou aplicativo da empresa são agregadas e consideradas como dados “não pessoais” , por supostamente não permitirem a identificação de cada usuário. A política também classifica “a idade do indivíduo, preferências individuais, idioma, CEP e código de área” como dados não pessoais. O aviso de privacidade da Amazon também trata especificamente de cookies, explicando que é possível desabilitar o uso dessas ferramentas no browser, mas, ao mesmo tempo, dizendo que “se você bloquear ou rejeitar nossos cookies, não será possível adicionar itens no seu carrinho, fazer o checkout e nem usar nenhum produto da amazon.com que requer que você faça “sign in”. Dessa maneira, ainda que disponha da possibilidade de desabilitar cookies, torna-se impossível fazê-lo e continuar usufruindo dos serviços da Amazon.

_ A política de privacidade do iFood diz que em algumas de suas mensagens de e-mail usam uma ‘URL click-through’ [endereço externo] vinculada ao conteúdo. Quando os clientes clicam em uma dessas URLs, os usuários são enviados para um servidor diferente antes de chegarem à página de destino no nosso serviço. A empresa então usa/monitora esses dados de click-through para entender o interesse em determinados tópicos e avaliar a eficácia das comunicações com os nossos clientes. Caso o cliente não queira ser monitorado de tal forma, a política demanda que ele “não clique em texto ou links contidos em mensagens de e-mail enviadas pelo iFood”. Aparentemente, a prática de direcionamento dos usuários para servidores antes da página final de destino não é informada aos clientes em momento algum — salvo àqueles que lerem a política de privacidade em sua completude antes mesmo de clicar em algum link veiculado pelo iFood em seus emails enviados para os clientes. Tal prática não é ideal e pode ferir os direitos dos usuários de consentirem com clareza a respeito da coleta de seus dados.

c) Relação com GAFAM pode decorrer em tratamento não autorizado de dados sensíveis?

_ Nenhuma das políticas de privacidade estudadas mencionam explicitamente o tratamento desses dados, ainda que várias delas possam incorrer em alguma atividade de profiling.

d) Dispositivos vagos sobre segurança e sigilo dos dados

_ As disposições sobre segurança nas políticas de privacidade analisadas são genéricas e geralmente tendem apenas a se eximir da culpa em relação ao vazamento de dados. A Social Miner, por exemplo, dispõe em sua política de privacidade que “opera com os mais altos padrões de segurança de dados, mas não se responsabiliza por eventuais roubos de dados e invasões terceiras”. De forma a especificar seus padrões de segurança, a start-up simplesmente disponibiliza um link para página listando os certificados de conformidade que a Amazon Web Services, provável servidor usado pela empresa, possui em todo o mundo. Social Miner e iFood sequer dispõem claramente sobre a comunicação aos usuários em casos de violação, evidente descumprimento da LGDP.

e) Direito de acessar com facilidade, corrigir ou deletar informações

_ O Magazine Luiza trata o usuário como o titular de fato dos dados e permite a adição, exclusão ou modificação de informações ligadas ao seu perfil de usuário. Apesar do documento dispor sobre a garantia do direito do usuário de acessar, corrigir ou deletar suas informações, ele não menciona quais meios existentes poderão ser utilizados para a garantia do direito. Ainda sobre este ponto, a política de privacidade não trata da possibilidade de exclusão dos dados após o término da relação que motivou a coleta e tampouco o período de tratamento dos dados pessoais do usuário.

_ Já no caso da Amazon Prime Video, a Privacy Notice diz que é possível acessar informações sobre a própria conta “com o propósito limitado de visualizá-las” e, em alguns casos, atualizá-las. O documento também diz que podemos ver alguns exemplos, mas o link nos direcionou novamente para o Privacy Notice. Novamente, vemos com apreensão o fato do serviço de streaming não ter uma política de privacidade específica, pois o processo de profiling para um serviço de streaming de vídeos é distinto, por exemplo, do profiling feito para compra e venda de produtos.

f) Prática de profiling e potencial de discriminar por algoritmos

_ A política de privacidade do iFood afirma que a empresa realiza uma classificação dos clientes conforme eventos realizados. Por exemplo, classificam usuários que “pedem mais determinada categoria de comida ou que realizam mais de 4 pedidos por mês”[1]. Não se sabe, no entanto, quais usos específicos e detalhados de tais classificações, que podem gerar vulnerabilidade para os usuários na medida em que oferecem parâmetros claros de preferências e costumes pessoais que, cruzados com outras informações, podem ser sensíveis em relação à privacidade.

_ A operação da Social Miner, por sua vez, é baseada na análise do comportamento de compra do usuário feita automaticamente pelo algoritmo de inteligência artificial da start-up. No entanto, não há indicações sobre o funcionamento de tal algoritmo e das potenciais categorizações de usuários em grupos conforme padrão de compras, o que, mais uma vez, deixa o usuário em situação de vulnerabilidade e potencial superexposição. A empresa afirma fazer estudos sobre os padrões dos consumidores. Nesse caso, “tais dados terão as informações pessoais dos usuários deletadas, não se configurando mais um dado pessoal, e sim um mero conjunto de dados anônimos para fins de estudo e pesquisa”. Ainda assim, indica que há, em alguma medida, a criação de perfis conforme dados dos usuários.

_ A Política de Privacidade do Magazine Luiza também é omissa com relação a eventuais práticas de profiling praticadas pela empresa e estratégias de direcionamento de conteúdo ou clusterização de clientes. Tudo o que o documento menciona é a eventual utilização de um cookie que identifica a navegação do Usuário para a posterior recomendação de produtos que será diferenciada para cada comportamento dentro do site. O documento também menciona que a recomendação de produtos será “gerada a partir de algoritmos, sua precisão pode não ser exata, porém visa sugerir produtos que sejam do interesse do Usuário, sem que este tenha qualquer obrigatoriedade de adquiri-los”.

_ O Amazon Prime Video tem contratado especialistas de análise de dados para melhorar seu algoritmo, mas seus termos de serviço e política de privacidade não dizem muito sobre como isso funciona e nem qual nosso poder de intervir. Até porque as políticas de privacidade são genéricas e dizem respeito a todos os serviços da Amazon, e não especificamente ao Amazon Prime Video. Na política específica, temos apenas menção ao software, dizendo que ele pode fornecer à Amazon “informações relativas ao seu uso e à performance do Serviço e do Software, assim como informações referentes aos dispositivos nos quais você baixa e utiliza o Serviço e o Software”.

CONSIDERAÇÕES FINAIS

Com a entrada em vigor da Lei de Proteção de Dados Pessoais brasileira, entendemos que as empresas com modelos de negócios baseados em dados pessoais terão que promover a imediata adequação às disposições da lei, que institui mais salvaguardas para os cidadãos e mais regras para que as atividades de processamento de dados sejam menos suscetíveis a vazamentos e incidentes de segurança. E esperamos que os pontos apresentados pela presente pesquisa sejam uma contribuição para o debate de Proteção de Dados Pessoais no Brasil.

Como algumas sugestões para que avancemos na proteção dos dados pessoais no Brasil, listamos:

Para os agentes de tratamento de dados analisados:

1. A atualização de todas as políticas de privacidade e termos de uso para gerar harmonização com a Lei Geral de Proteção de Dados. As empresas precisam se adequar tanto em vocabulário, quanto em ação à lei brasileira, buscando deixar mais claro para o usuário seus direitos garantidos por lei e os detalhes do tratamento de seus dados pessoais. Resta incompleta, por exemplo, a política da Social Miner, que cita a normativa europeia em sua política de privacidade várias vezes, mas sem lidar diretamente com a legislação brasileira que logo vigorará em todo território nacional.
2. A disponibilização das políticas de privacidade e dos termos de uso de forma facilitada, integrada e traduzida para a língua portuguesa. Por exemplo, houve dificuldade em entender qual política de privacidade rege os serviços da Amazon Prime Video quando contratada pela Vivo. É essencial que empresas forneçam, conforme disposto em lei, informações claras, suficientes e de fácil acesso aos seus clientes ou clientes em potencial, se são duas empresas envolvidas, seria fundamental um único documento que deixasse claro para o consumidor o papel de cada uma no tratamento de seus dados.
3. A disponibilização e indicação, nos termos de uso e políticas de privacidade, de mecanismos e/ou contato para usuários que desejem obter mais informações referentes ao tratamento de seus dados. Mesmo que a LGDP disponha sobre a possibilidade dos usuários demandarem informações ou modificações sobre o tratamento de seus dados, ainda resta incerto, nas políticas analisadas e, acredita-se, em grande parte das EMNDB, um caminho claro a ser tomado pelo usuário sempre que ele desejar fazer uso de seus direitos assegurados pela LGDP.
4. A instauração de políticas de governança. Em nenhuma das quatro empresas analisadas, foram encontradas diretrizes que apontassem para medidas de governança ou princípios orientadores do tratamento dos dados e cuidado com a segurança dos usuários. A LGDP recomenda que as empresas sejam transparentes quanto aos seus processos internos de gestão de dados, mas não houve, até o momento nas empresas analisadas, clara execução de tal recomendação.
5. O detalhamento, por parte das empresas, acerca das medidas de segurança adotadas. Algumas empresas usaram termos vagos para se referir ao tema, outras até mesmo se eximiram da responsabilidade de ressarcir os usuários em caso de vazamentos e violações.
6. É necessária maior investigação sobre o panorama de atuação das empresas com modelos de negócios baseados em dados no país a partir de sua incidência sobre os direitos e liberdades dos cidadãos. Sobretudo considerando a iminência da aplicação da lei, é vital para usuários e para as próprias empresas que haja material em português e focado especificamente no contexto brasileiro sobre a relação entre as normas incidentes sobre a proteção de dados pessoais e a atuação de empresas. Tais estudos poderão, inclusive, ser utilizados pela ANPD quando ela iniciar suas operações, de forma a construir um conhecimento técnico e embasado em empiria sobre o tema.
7. O uso de cookies e outros trackers também precisa ser entendido e tratado com mais detalhes, para que não se interprete, por padrão, que os dados que coletam são anonimizados, e, portanto, fora do âmbito de proteção da lei, como pudemos ver afirmados em algumas políticas de privacidade.
8. Deve-se observar que, por vezes, na relação com as empresas GAFAM, dados sensíveis estão sendo coletados, mas não encontramos menção a dados sensíveis em nenhuma política de privacidade.
9. Também sugerimos que opt-in para determinadas coletas de dados seja o padrão, ao invés de opt-out, o que tem sido comum nos termos analisados.
10. Por fim, é necessário mais clareza e transparência sobre as práticas de profiling das empresas, tema que não apareceu claramente explicitado em nenhuma das políticas de privacidade ou termos de uso.

Com relação à Autoridade Nacional de Proteção de Dados

1. A criação da Autoridade Nacional de Dados Pessoais e sua posterior transformação em autarquia, pertencente à Administração Pública Indireta — conforme previsto na lei. Uma autoridade com independência técnica e financeira, e com forte poder de fiscalização é necessária para garantir a tutela dos direitos dos usuários e aplicar sanções mais severas aos agentes de tratamento de dados pessoais.
2. Que seja mantida a data de vigência da Lei Geral de Proteção de Dados para agosto de 2020. A entrada em vigor da Lei fornecerá mais segurança jurídica para atuação das empresas analisadas no presente estudo, ao passo que fomenta a criação de estruturas internas de adequação à Lei. Adicionalmente, uma lei vigente e aplicável é necessária para a proteção dos cidadãos ante eventuais abusos dos agentes de proteção de dados pessoais.