Lições da relação entre o Facebook e a Cambridge Analytica

Não foi um bom fim de semana para o Facebook. Em compensação, aqueles que defendem a regulamentação de todas as grandes plataformas de Internet, especialmente me relação ao uso que fazem de nossos dados, ganharam munição extra.

Caso você não esteja acompanhando, um breve resumo.

Em 2014, a Cambridge Analytica, uma empresa de marketing político bastante nebulosa, contratou um cientista da computação canadense (Christopher Wylie, guarde esse nome) para desenvolver um teste de personalidade desses que todo mundo adora fazer na rede social, capaz de extrair do Facebook os perfis detalhados de 50 milhões de pessoas. Estamos falando de likes,  conteúdo de postagens (sim, naquela época o Facebook ainda permitia o monitoramento dos perfis pessoais qualquer ferramenta de terceiros), idade, estado civil, local de residência etc. Esse material alimentou um outro banco de dados, fruto do cruzamento de informações, com registros preciosos sobre inclinações políticas.

A Cambridge Analytics é acusada de usar toda essa estratégia de mineração e análise de dados para manipular as campanhas vencedoras que tiraram o Reino Unido da União Europeia — o Brexit — e levaram Donald Trump à presidência.

Testes no Facebook, o perigo
O teste da Cambridge Analytica é baseado em um outro, criado por Aleksandr Kogan (acadêmico russo-americano da SCL/Cambridge Analytica, que atua na Universidade de Cambridge) com o objetivo de desenvolver pesquisas acadêmicas: o thisisyourdigitallife. Com o consentimento de mais de 270 mil usuários, o app acessava informações privadas de seus perfis, o que é legítimo segundo os termos de uso do Facebook e as políticas aceitas pelos desenvolvedores de apps para a plataforma.

Acontece que, em 2015 o Facebook foi informado que Aleksandr Kogan havia compartilhado essas informações com Christopher Wylie,  com finalidades comerciais, e não acadêmicas, o que seria uma violação aos termos de uso do Facebook  para desenvolvedores.  Chris Wylie disse ao jornal britânico Observer: "Exploramos o Facebook para colher perfis de milhões de pessoas e construímos modelos para explorar o que sabíamos sobre eles e direcionar seus demônios internos".

Como bem explica Lucas Anjos, fundador e membro do Conselho Científico do Instituto de Referência em Internet, é fácil entender a mecânica de obtenção de dados usada nesse caso. Basta compreender seu apelo do thisisyourdigitallife: um teste de personalidade, que recompensava financeiramente as pessoas que consentiram em se submeter a ele.  O trabalho de mineração foi considerar apenas pessoas que possuíam direito de voto no Reino Unido e nos Estados Unidos.

"O usuário acreditava estar participando de um simples teste de personalidade, cada vez mais comuns nas redes hoje em dia, e acabava alimentando uma base de dados cuja finalidade se "transformou": a intenção declarada era realizar pesquisas acadêmicas que buscavam entender comportamentos online, porém acabou servindo para subsidiar iniciativas comerciais, de marketing, e com potencialidades ainda incertas", escreve Lucas, lembrando que a a Cambridge Analytica também possui escritórios no Brasil, em São Paulo.

Ainda segundo Lucas, a consultoria política brasileira CA Ponte, que tinha feito parceria com a Cambridge Analytica para as eleições de 2018, declarou, recentemente, te-lâ suspendido, após a empresa britânica ser acusada pelo Facebook de comprar dados dos usuários da plataforma ilegalmente para uso em campanha.

A Cambridge Analytica também  foi suspensa pelo Facebook na semana passada. Mas só  agora, diante da exposição dessa história por jornais como o o New York Times e o Guardian .

Ética empresarial
Nunca o debate sobre privacidade e proteção de dados pessoais online foi tão importante e necessário. O uso e a exploração dos dados devem ser analisados internamente para garantir a ética, que permite sua exploração até o limite da privacidade dos usuários. E não são apenas os governos que devem se preocupar em regular o uso desses dados (lembrando que já são 125 os países com leis de proteção de dados e estão fora Brasil e EUA).

Em economias cada vez mais impulsionada pelas análises de dados, as próprias empresas devem começar a se preocupar em como cuidar da privacidade de seus clientes. Hoje, por exemplo, as APIs do Facebook já não permitem o mesmo tipo de captura de informações feitas em 2014.  E, quando os desenvolvedores criam aplicativos que solicitam certas informações de pessoas, o Facebook garante fazer uma revisão "robusta" para identificar potenciais violações de políticas e para avaliar se o aplicativo tem um uso legítimo para os dados.

"Continuamos empenhados em aplicar vigorosamente as nossas políticas para proteger a informação das pessoas", escreveu o Facebook em um comunicado publicado na área de imprensa da rede social.

Mas será que o Facebook consegue garantir que todas as empresas que capturaram dados antes da mudança de funcionamento das APIs os estão usando para a finalidade declarada? E ao descobrir violações, a empresa não teria obrigação de torná-las públicas?

Só ontem, por exemplo, o Facebook  disse ter contratado uma empresa forense digital, a Stroz Friedberg, para realizar uma auditoria abrangente da Cambridge Analytica.

Problemas da rede social
Na minha opinião, a rede social tem três problemas para lidar hoje.

Primeiro, vem, há anos, dizendo que é muito difícil extrair dados para usos ilegítimos. "É hora de Mark Zuckerberg parar de se esconder atrás de sua página no Facebook", disse o deputado conservador Damian Collins, em Londres.  Collins quer convocar Zuck para um depoimento formal. A senadora democrata Amy Klobuchar, em Washington, também vai convocá-lo.

Segundo, e mais importante: o Facebook sabia sobre as violações da política de dados da Cambridge Analytica desde pelo menos em agosto de 2016, mas não fez nada além de enviar uma notificação legal para exclusão das informações. Acontece que há uma legislação americana que obriga as empresas a divulgarem publicamente violações de dados. Se esse tipo de desrespeito dos termos de serviço do Facebook for considerado um vazamento de dados, Mark Zuckerberg  e sua rede social estão em maus lençóis.

Em visita aos Estados Unidos esta semana, a Comissaria Europeia da Justiça, Vera Jourova, pretende questionar seus pares norte-americanos a respeito de compromissos que o Facebook teria assumido com o governo americano anos atrás, em relação à privacidade de seus usuários. Notadamente, o acordo fechado em 2011 com  a Comissão Federal de Comércio dos Estados Unidos (FTC)  no qual a rede social é obrigada a obter permissão expressa de seus usuários antes de compartilhar informações privadas.

Em 2011, a FTC havia recriminado a empresa de Mark Zuckerberg por considerar que enganava 'os consumidores ao dizer que podiam manter as informações privadas e depois permitir repetidamente que se tornassem públicas'. Na época, a rede social se comprometeu a ter um programa de privacidade completo para proteger as informações dos usuários e ser submetida a auditorias sobre privacidade a cada dois anos por uma entidade independente.

Os tópicos de discussão sobre a visita da senhora Jourová nos EUA destacam o choque em questões de privacidade entre Washington e Bruxelas, onde as regras de proteção de dados geralmente são mais estritas.

As estritas leis de privacidade na UE permitem que as empresas armazenem informações pessoais sobre os europeus em solo americano apenas se as empresas se comprometerem a garantir níveis de proteção de privacidade a nível europeu.

Um dos principais mecanismos legais para fazê-lo, acordado entre os EUA e a UE em 2016 e usado por milhares de empresas, é sustentado legalmente por garantias escritas e uma diretriz presidencial promulgada sob a administração do ex-presidente Barack Obama. Um dos elementos centrais desse acordo, a nomeação dos EUA de um oficial de alto nível para o campo e investigar queixas europeias sobre o tratamento dos dados nos EUA, não foi implementado.

"Eu venho com uma mensagem clara: já estamos muito impacientes e queremos ver o ombudsman de pleno direito fazendo o trabalho que foi prometido", disse a Sra. Jourová em entrevista ao Wall Street Journal.

A pressão por represálias ao Facebook será grande.

A jornalistas norte-americanos uma porta-voz do Facebook disse que a empresa rejeita qualquer sugestão de que tenha violado esse acordo ao fornecer dados para o app thisisyourdigitallife usado pela Cambridge Analytica.

Sobre este tópico é importante ressaltar também que, de acordo com o UK Data Protection Act 1998, o Facebook não tem obrigação de dizer aos seus usuários britânicos (mesmo aqueles usuários efetuados) que seus dados foram "coletados". Deixo claro que, em plena conformidade com as leis de proteção de dados do Reino Unido, o Facebook não tinha obrigação legal de notificar o Comissário da Informação do Reino Unido, nem seus usuários.  Mas coleta não significa uso ilegal. O que a Camdridge Analytica fez, segundo o próprio Facebook, foi uso ilegal do dados coletados.

Terceiro, as ações do Facebook não param de cair. Só nesta segunda-feira, 19/3, a queda foi de 6,77%, pior dia desde março de 2014, acumulando perda de de 10,8% desde seu recorde de fechamento em 1º de fevereiro. Hoje voltaram a abrir em queda.

Proteção de dados e o Velho Oeste Digital
Ontem, a queda do Facebook pesou fortemente sobre o setor de tecnologia do S&P, que caiu 2,11%, bem como o Nasdaq, que recuou mais de 2%. Ambos os índices tiveram sua pior performance diária desde 8 de fevereiro.

O receio de que não só a rede social, mas o setor de tecnologia venha a sofrer investigações generalizadas da parte dos governos dos EUA e da União Europeia sobre suas práticas de privacidade, fez com que outras ações de tecnologia também caíssem: a Alphabet (empresa mãe da Google) teve queda de mais de 3,5%; Amazon e Microsoft perderam mais de 2% e a Apple perdeu 1,8% de valor de mercado.

"Facebook, Google e Twitter acumularam quantidades de dados pessoais sem precedentes e usam esses dados para vender publicidade, incluindo anúncios políticos. A falta de supervisão sobre como os dados são armazenados e como as propagandas políticas são vendidas levanta preocupações sobre a integridade das eleições americanas como bem como os direitos de privacidade ", disseram os senadores Amy Klobuchar (democrata) e John Kennedy (republicano) em um comunicado conjunto na segunda-feira.

Os senadores disseram que o testemunho dos CEOs das empresas forneceria uma atualização sobre as medidas tomadas para bloquear a interferência estrangeira nas eleições dos EUA e como as empresas estão protegendo os dados dos americanos.

A dupla bipartidária integra o Comitê Judiciário e pede ao presidente do painel, Chuck Grassley (republicano), para realizar audiências.

Os senadores se juntam a outros no Capitol Hill e na Europa pedindo um exame adicional das empresas de tecnologia e das práticas da Cambridge Analytica. Outros membros seniores do Congresso estão pedindo investigações adicionais ou medidas renovadas para travar o abuso na publicidade digital.

"Este é um grande problema, quando você tem essa quantidade de dados. E as violações da privacidade são significativas", disse o senador Jeff Flake (republicano), membro do Comitê Judicial do Senado, em uma entrevista na CNN . "Então, a questão é: quem sabia? Quando eles sabiam disso? Por quanto tempo isso aconteceu? E o que acontece com esses dados agora?"

Já há, na Comissão Europeia, uma gritaria generalizada pela regulamentação dessas plataformas. Os defensores alegam que , se não houver nenhuma obrigação atual de denunciar violações, então o erros como este podem passar despercebidos.

Por exemplo, o Regulamento Geral de Proteção de Dados da União Europeia, que entra em vigor em 25 de maio próximo, garante que as falhas no uso de dados como esta sejam relatadas. Aqueles que processam e controlam dados precisam estar cientes de suas novas obrigações.

Uma delas está relacionada ao chamado "direito ao esquecimento". Segundo a GDPR, os residentes da UE terão o direito de solicitar a remoção dos seus dados pessoais do banco de dados de qualquer empresa, não apenas as gigantes da Internet. No entanto,  pesquisa recente da Veritas constatou que muitas empresas que admitiram já estar em conformidade com a legislação não conseguem buscar, encontrar e nem apagar dados pessoais em resposta a solicitações de "direito ao esquecimento". Muitos desses dados foram capturados online, nas plataformas sociais.

As autoridades nacionais de proteção de dados da Europa estão se reunindo em Bruxelas nesta terça-feira para discutir o caso de Cambridge Analytica.