Dilema do Facebook: equilibrar a privacidade e a portabilidade de dados

Dias atrás o Facebook lançou um relatório sobre portabilidade de dados que intrigou todos aqueles que conhecem bem as práticas da rede social. Por quê? Porque pela primeira vez a empresa parecia pedir ajuda à comunidade acadêmica, ao setor privado e, principalmente, às autoridades para definir claramente como habilitar o direito dos usuários de levar seus dados para onde desejarem, garantindo a sua privacidade. Os mais céticos duvidaram do exercício de humildade, preferindo ver na atitude inédita da rede social uma forma de dividir o ônus em relação a problemas futuros. No fundo, muitos ainda estão tentando entender toda a extensão dessa decisão, que é muito complexa e com varias implicações.

Ontem, em um café da manhã com jornalistas durante sua passagem pelo Brasil para participar do 10º Seminário de Proteção à Privacidade e ao Dados Pessoais, o diretor global de Privacidade do Facebook, Steve Satterfield, disse com todas as letras que o Facebook está, sim, pedindo ajuda para definir como lidar com os riscos à privacidade criados ao permitir que os dados deixem sua plataforma. Não quer, ou melhor, não considera prudente decidir unilateralmente sobre um assunto tão complexo. Especialmente após os compromissos assumidos com reguladores americanos e europeus.

"Depois da Cambridge Analytica fizemos muitas mudanças que restringiram os tipos de dados que as pessoas podiam extrair. Aí começamos a ouvir que deveríamos abrir a plataforma novamente, algo no que realmente acreditamos. Mas reconhecemos que precisamos ter cuidado com o modo como vamos construir a portabilidade, para explicar o potencial de uso indevido", disse Steve.

"A portabilidade de dados em si é uma questão que envolve necessariamente mais do que apenas o Facebook. São precisos dois para dançar, fazer um show de tango na Argentina. São necessários dois para dançar o tango. Você não pode ter portabilidade de dados em apenas uma empresa. Portanto, é uma questão ecossistêmica por excelência. E, claro, é uma das áreas que Mark Zuckerberg sugere que se beneficiaria de uma regulamentação. É um desses tipos de grandes problemas que as empresas individuais de tecnologia não deveriam decidir por conta própria", comentou. " Há certas perguntas que os governos devem responder", completou.

O executivo garante que o Facebook reconhece ter uma responsabilidade incomum, por causa do seu tamanho, por causa da importância que desempenha na vida das pessoas. "E isso significa que temos que nos envolver com a comunidade externa ao tomar decisões que afetam a vida das pessoas", afirmou, deixando escapar durante o papo que um dos compromissos exigidos pela FTC é que o Facebook receba feedback externo sobre questões de privacidade.

Perguntas incômodas

No relatório (sobre o qual falei neste blog logo tão logo foi publicado) o Facebook faz cinco perguntas. A principal delas é sobre quem será responsabilizado se os dados forem mal utilizados ou protegidos incorretamente depois de transferidos.

Fiz duas perguntas a Steve, tão logo o encontro terminou. Em uma delas, pensando em questões difíceis sobre portabilidade de dados, quis saber como o Facebook acredita que as empresas devem lidar com solicitações governamentais/policiais quando se trata de dados portáteis. Exemplo: o serviço A recebe dados do serviço B. O serviço A recebe uma solicitação de aplicação da lei – além de seus próprios dados, estaria obrigado a fornecer também os dados que recebeu do serviço B?

"Esse é o tipo de pergunta difícil que esperamos que terceiros ajudem a responder no processo de consulta que estamos realizando após a publicação do white paper sobre portabilidade de dados. Não achamos que o Facebook ou qualquer outra empresa individual possa responder a essas questões por conta própria; precisamos do feedback das partes interessadas externas", disse Steve.

Questões de conformidade em relação aos dados recebidos de terceiros também preocupam. Recentemente, o grupo britânico Privacy Internacional, uma ONG que investiga o controle de dados na Internet, descobriu que alguns aplicativos de menstruação estariam compartilhando o conteúdo com o Facebook, permitindo que a plataforma tivesse conhecimento sobre a saúde e a atividade sexual de suas usuárias. Mesmo com os termos de serviço da rede social proibindo os desenvolvedores de enviarem dados confidenciais sobre a saúde das pessoas.

O compartilhamento dessas informações teria ocorrido por meio do SDK do Facebook, o kit de ferramentas usada pelos desenvolvedores para a criação de aplicativos.

Então, pensando na portabilidade dos dados, como evitar a transferência/recebimento de dados confidenciais ou dados que não devem ser compartilhados, como o que aconteceu recentemente com esses aplicativos?

"É preciso educar os anunciantes e desenvolvedores de aplicativos sobre a importância de sempre serem claros com seus usuários sobre as informações que estão compartilhando e, é claro, sobre a necessidade de cumprir nossas políticas, que proíbem terceiros de nos enviar dados confidenciais", disse Steve. "O Facebook também possui sistemas que detectam e filtram dados como números de previdência social, senhas, endereços de email e números de telefone, e começamos a procurar maneiras de melhorar nosso sistema e produtos para detectar e filtrar mais tipos de dados potencialmente sensíveis", completou. "Seremos responsáveis por uma supervisão ainda mais robusta do que estávamos exercendo até agora".

Antes, Steve já havia me dito que o Facebook procura tratar dados que recebe de outras companhias, parceiras, da mesma forma que trata os dados inseridos diretamente por seus usuários na plataforma. "Reconhecemos que temos uma responsabilidade séria de proteger esses dados da mesma maneira que se uma pessoa estivesse entrando diretamente no Facebook. Então, tratamos como qualquer outra informação pessoal que recebemos e reconhecemos que temos uma responsabilidade significativa em protegê-la", afirmou.

Portabilidade e concorrência

Há ainda uma outra pergunta, essa vinda dos mais críticos à atuação das plataformas, que preocupa o Facebook: se a portabilidade de dados é algo que pode aprimorar a escolha do consumidor e a concorrência no mercado, como garantir um ecossistema saudável que proteja a privacidade e a concorrência?

Existe um consenso crescente de que ser capaz de mover facilmente seus dados entre plataformas sociais e talvez até se comunicar entre plataformas diferentes é necessário para promover a concorrência on-line e permitir o surgimento de novos serviços.

Aqueles que defendem mais concorrência nas mídias sociais – como a economista de Yale, Fiona Scott Morton – querem que o Facebook "faça suas plataformas se misturarem com os concorrentes, não apenas forneçam uma transferência única dos dados dos usuários". Morton previu que o Facebook se oporia tal plano por razões competitivas, "não por obstáculos técnicos", disse a jornalistas americanos.

O relatório do Facebook menciona brevemente a interoperabilidade total e "não sob uma perspectiva excessivamente positiva", sugerindo que "forçaria [a empresa] a recriar as condições de acesso aberto" que levaram ao escândalo da Cambridge Analytica.

No fundo, os dados são agora um ativo e um passivo para a empresa, porque ela precisa mantê-los bloqueados para evitar qualquer tipo de uso indevido, como aconteceu no caso da Cambridge Analytica, mas também ser mais transparente com eles, permitindo que as pessoas possam ser capazes de removê-los completamente do Facebook e até de levá-los para outros serviços, inclusive novas redes sociais.

"Criamos uma plataforma que permite que desenvolvedores terceirizados solicitem permissão das pessoas para acessar seus dados. O que está no centro de tudo isso é a capacidade de mover seus dados para serviços diferentes e as coisas legais que podem ser feitas", defende Steve.

"As pessoas provavelmente esquecem, mas houve um longo tempo em que a única maneira de entrar no Spotify era através do login no Facebook e o Spotify foi capaz de crescer rapidamente, porque era muito fácil se inscrever. Bastava tocar no login do Facebook, para ter suas informações preenchidas no aplicativo de música. Você deve se lembrar também como era fácil compartilhar a música que estava ouvindo no Facebook. Esse foi um recurso interessante", lembra Steve.

De fato, o que está em jogo é o equilíbrio entre o que o Facebook não deve compartilhar, respeitando a privacidade dos usuários e  o que ele precisa compartilhar, de modo a garantir o seu modelo de negócio e a continuar dando aos usuários controle total sobre os seus dados como exige o Regulamento Geral de Proteção de Dados da União Europeia, o GDPR.

GDPR e FTC como pano de fundo

Durante a conversa com jornalistas, Steve foi muito questionado sobre o acordo com a Federal Trade Commission (FTC) e tentou abordá-lo em perspectiva, considerando o escândalo da Cambridge Analytica e todo o esforço feito pela companhia para adequação ao GDPR.

"Mudamos fundamentalmente, principalmente no último ano e meio. E os pedidos recentes da FTC marcam o início de uma era totalmente nova na empresa", disse Steve, sem deixar de pontuar que a privacidade por design já era adotada pela rede social, na elaboração de seus produtos, desde 2011, 2012.

"Além de ser um requisito legal sob a ordem de consentimento da FTC, acreditamos que a privacidade por design também é um imperativo comercial", disse Steve. "Se não protegermos a privacidade das pessoas, sabemos que elas não usarão o serviço, certo? Esse é um fator fundamental de confiança, um fator fundamental para o sucesso de nossos produtos", completou.

Ainda segundo Steve, nos últimos 18 meses o Facebook fez "o maior esforço multifuncional da sua história" para atingir uma única meta: estar em conformidade com o GDPR.

"A Europa tem o tipo de orientação mais detalhada sobre o que significa proteger a privacidade, proteger os dados", opinou. "O GDPR nos levou a avançar nessa área. As lições aprendidas nesse processo serão muito importantes para implementarmos o acordo com a FTC, que exigirá mais evolução na maneira como protegemos os dados das pessoas", disse. "Estamos em uma nova era. Você pode sentir isso na empresa. Você está ouvindo executivos falarem sobre privacidade de uma maneira que eles nunca falaram sobre isso antes".

É bom que seja assim! Mesmo que o acordo com a FTC ainda não esteja sacramentado. Como o próprio Steve fez questão de ressaltar, algumas ONGs questionaram legalmente o acordo e o processo ainda está em curso. "Esperamos que se torne definitivo", disse.

Segundo ele, uma das maiores mudanças é a responsabilização dos executivos do Facebook, incluindo o próprio Mark Zuckerberg, pelos esforços de conformidade. "Nunca vimos algo assim nos Estados Unidos. A coisa mais próxima disso diz respeito aos relatórios financeiros. Temos leis nos EUA que exigem que os executivos assinem e se responsabilizem pelas demonstrações financeiras que disponibilizamos. Agora teremos que fazer algo semelhante em relação aos relatórios de conformidade com as leis de privacidade", mencionou Steve. "Mark e outros executivos terão que prestar contas à FTC. Informações falsas, presumivelmente terão consequências significativas, imagino. Não saberia dizer quais consequências", completou.

A outra grande mudança para o Facebook é passar a ter um comitê independente do conselho de administração focado em privacidade. "Mais uma vez, eu nunca vi isso. Acho que esse é um recurso realmente interessante", disse Steve.

Criptografia e o futuro

Considerando que o futuro do Facebook está atrelado à privacidade do compartilhamento social, com a integração de plataformas como Instagram, Messenger e WhatsApp em uma mesma infraestrutura, como ficaria a portabilidade de dados nesse contexto?

"Esse é um ponto que vamos desenvolver e consultar os governos e especialistas externos. São muitos os desafios. É uma área em que estamos recebendo muitos feedback, onde ouvimos muitas perguntas e acho que é algo que precisamos resolver", disse Steve. "O que esperamos é obter o máximo possível de informações dos especialistas, à medida que construímos essas ferramentas".

Como o novo modelo deverá funcionar com base na criptografia de ponta-a-ponta, por padrão, um dos problemas do Facebook hoje é a manutenção do que eles chamam de  integridade.

"Podemos fazer muito para proteger as pessoas com base em nossa capacidade de ver conteúdos que potencialmente violam os padrões da comunidade. Quando mudarmos para a criptografia ponta-a-ponta, essa nossa capacidade será menor. Seremos menos capazes de identificar coisas como exploração infantil, imagens íntimas não consensuais, também conhecidas como pornografia de vingança, conteúdo terrorista…", comentou Steve, lembrando que a rede está trabalhando para equilibrar esses pontos também. "É outro ponto sobre o qual estamos fazendo muitas consultas externas, porque essa é uma mudança importante na empresa", disse.

"Nós somos uma empresa orientada para o consumidor. O que estamos anunciando são basicamente os produtos que achamos que nossa comunidade deseja que a gente construa. E agora entendemos que alguns têm implicações políticas e que, devido ao nosso tamanho, em particular, temos a responsabilidade de considerar isso", completou  Steve.

Mas seria só uma questão de segurança? Ou aí também entraria um componente comercial? "A  incapacidade de ver o conteúdo não deverá ter nenhum efeito sobre nossa capacidade de monetizar esses serviços", afirmou Steve. "Anunciamos nossa intenção de exibir anúncios no WhatsApp, mas reconhecemos que precisamos fazê-lo de maneira ponderada. Ainda acreditamos que, se criarmos ótimas experiências, a receita virá", afirmou.

Suspensão de aplicativos

Mais tarde, na mesma sexta-feira em que conversamos com Steve, o Facebook anunciou a suspensão de "dezenas de milhares" de aplicativos por uso inadequado de dados pessoais dos usuários. Mas a empresa forneceu poucos detalhes sobre o que os aplicativos fizeram de errado, ou mesmo os nomes dos aplicativos, dizendo apenas que estavam associados a cerca de 400 desenvolvedores e que tinham sido alvo por conta de uma "variedade de razões".

De acordo com informe sobre a suspensão, muitos destes aplicativos não estavam em uso, mas em fase de testes. "Não é incomum que os desenvolvedores tenham vários aplicativos de teste que nunca são lançados. E, em muitos casos, os desenvolvedores não responderam ao nosso pedido de informações, por isso os suspendemos, honrando nosso compromisso de tomar medidas", disse Ime Archibong, vice-presidente de parcerias de produtos, autor do texto.

Os senadores Richard Blumenthal (democrata) e Josh Hawley (republicano) questionaram Mark Zuckerberg sobre as práticas de coleta de dados de sua empresa durante reuniões privadas em Washington esta semana. "Agora, apenas 24 horas depois de insistir na minha cara que o Facebook leva a privacidade pessoal mais a sério do que qualquer outra coisa, eles revelam violações de dados potencialmente enormes", twittou Hawley logo após o anúncio.

A reação do senador deixa claro que reconquistar a confiança de todos vai exigir um esforço sobrenatural de Zuckerberg e companhia.